TCP三次握手与防火墙规则

一个(tct)socket连接需要在客户端与服务端开启一个隧道，客户端提供一个端口（new时可指定，也可不指定，随机），服务端的端口和地址一定要指定。
在win下，服务端创建监听端口时，防火墙会提示阻止，这时要解除这个端口的阻止才能让客户端连接。

 

客户端连接时，由于windows防火墙不过滤所有的主动请求，所以不会被防火墙阻止（ftp例外），但是在tcp三次握手的第二次，服务端响应的syn和ack相当于服务端连接客户端，此时防火墙是否会阻止第二次握手？待验证

 

查资料感觉第二次握手不会被过滤

 

 

在linux下，iptables也有output链，用来过滤主动请求，那么output默认是什么样的呢？如果不阻止output，主动请求发出去之后，第二次握手会不会被防火墙的input链过滤呢？

IPTABLES默认策略为：

/etc/sysconfig/iptables

# Firewall configuration written by system-config-firewall
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p icmp -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
COMMIT

详解：

:INPUT ACCEPT [0:0]
# 该规则表示INPUT表默认策略是ACCEPT

:FORWARD ACCEPT [0:0]
# 该规则表示FORWARD表默认策略是ACCEPT

:OUTPUT ACCEPT [0:0]
# 该规则表示OUTPUT表默认策略是ACCEPT

-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# 意思是允许进入的数据包只能是刚刚我发出去的数据包的回应，ESTABLISHED：已建立的链接状态。RELATED：该数据包与本机发出的数据包有关。

-A INPUT -j REJECT --reject-with icmp-host-prohibited
-A FORWARD -j REJECT --reject-with icmp-host-prohibited
# 这两条的意思是在INPUT表和FORWARD表中拒绝所有其他不符合上述任何一条规则的数据包。并且发送一条host prohibited的消息给被拒绝的主机。

-A INPUT -i lo -j ACCEPT

-i 参数是指定接口，这里的接口是lo ，lo就是Loopback（本地环回接口），意思就允许本地环回接口在INPUT表的所有数据通信。

有非默认规则时，默认规则会失效，即上面默认策略中，FORWARD ACCEPT[0:0]与INPUT ACCEPT[0:0]会无效

其实也不算会失效，只是拦截规则是有优先级的，下面的优先级较高，所以拦截之后上面的就无效了。

以及根据上面的规则可以看出来，三次握手请求和防火墙规则并不冲突，防火墙不会因为是第二次握手就会放行（当然不同防火墙有可能会不一样），这里的默认策略是放行第二次握手，以及默认的ACT包（仅仅ACT位为1的包）都会被防火墙放行，不管是什么防火墙。

更新：真坑，Ubuntu开启ufw之后，默认拦截了所有的input，包括第二次握手，我去。。。