默认情况下,它将以静默方式丢弃数据包,并且不会通知源已发生这种情况,从而导致在连接超时消失之前源可能需要长时间等待.对于给定的TCP连接,我想将RST数据包发送到已被禁止的传入SYN数据包,而不是以静默方式丢弃它.
我的一个2K3盒子可以做到这一点,但我的XP SP3机器却没有.我的XP SP3笔记本电脑也习惯了,但我的Win7笔记本电脑却没有.
之所以出现这种情况,是因为我经常需要通过telnet连接到几个基于Linux的内部盒子(他们没有,也无法安装,SSH),他们会在呈现用户名之前尝试使用ident来识别我/密码提示.当我从2K3服务器连接时,提示是即时的,因为传入的ident数据包被主动阻止,但是从我的XP机器我必须等待大约20秒,因为远程主机没有得到阻止通知.这不是一个安全问题 – 一切都是本地的,绝不暴露在互联网上,我在这些本地机器和WAN之间有2个防火墙.
我已经在这个主题上做了一些相当大的谷歌搜索,并且我最接近发现任何对这种行为的引用是this technet article,但它似乎直接与我在我的一个盒子上得到所需行为的事实相矛盾.它还没有包含有关如何配置此类行为的信息,尽管在行之间读取我认为这是TCP / IP堆栈的功能,而不是Windows防火墙本身 – 似乎TCP / IP堆栈(NAT驱动程序)要求防火墙是否允许数据包,然后处理操作本身.
在你问之前,不,2K3盒子上肯定没有安装第三方防火墙软件 – 我的旧笔记本电脑上都没有 – 它只是Windows防火墙.配置界面与我用于编写此问题的XP框的界面相同.我完全清楚这很可能涉及使用注册表设置,但我不知道从哪里开始……
作为您的案例的解决方法,我建议这样做 – 将端口113 / tcp添加到Windows防火墙的例外列表中.只要没有任何东西正在侦听端口113,您将从堆栈中看到所需的RST响应,而不是一系列SYN超时和重新传输.