防火墙是如何区分数据我是请求返回的, 还是从服务器主动向我发送的?

2020-09-30 10:22:55 +08:00
 riozhu

这个问题来源于今天对于 FTP 被动模式和主动模式的理解, 我尝试理解为什么需要被动模式.我看到这句话"当 FTP 客户端是在内网的时候,通过 NAT 或者其他防火墙配置,主动模式很难进入。所以主动模式已经不流行了。"

我的问题: 比如我在内网的电脑(在防火墙后面), 是如何区分返回的数据是来自我请求的(比如我主动去访问一个网页, 网页服务器返回网页数据, 防火墙没有拦截) 但是,其他电脑(或者服务器)主动向我发送请求(在我的电脑看起来同样是一串数据), 这样的请求会被防火墙拦截. 请教一下这是如何做到的? 谢谢各位.

1197 次点击
所在节点    问与答
7 条回复
kuro1
2020-09-30 10:24:48 +08:00
TCP 握手阶段
cycloner
2020-09-30 11:32:42 +08:00
看看 tcpip 原理你就解惑了
kangsheng9527
2020-09-30 11:37:25 +08:00
回复的都装大神,,,哎。。。
whywhywhy
2020-09-30 11:48:56 +08:00
一个是 TCP 握手阶段的原理,网上应该很多科普视频

还有就是 NAT 的原理,也有很多视频。。。

看一看吧,也许你会明白,也许你始终明白不了,也没办法了。


@kangsheng9527 讲起来太长,理解起来不容易的。这个不是装不装,,不了解二层交换三层网络数据交换技术,想要理解真的有难度。
ddefewfewf
2020-09-30 11:51:49 +08:00
哪个防火墙 gfw
Jirajine
2020-09-30 11:55:33 +08:00
因为有连接追踪机制。
简单来讲就是一方先发送的包(任意协议)过防火墙时会被记录下来,从而可以识别对方回复的包。
如果是 TCP 因为 TCP 握手和回复有固定格式所以识别起来更容易,UDP 的话就得靠超时机制了。
你可以 cat /proc/net/nf_conntrack 查看当前系统追踪的连接。
zhs227
2020-09-30 11:57:48 +08:00
conntrack,在 conntrack 里有记录的反向才能通过。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/711786

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX