当我从我的计算机请求网页时,该请求通过两个防火墙 (一台在我的Windows 10计算机上加一台在我提供的ISP调制解调器路由器上)。那里 没有传出防火墙规则,让我们说我的数据包被释放到 互联网骨干与源1.2.3.4:9和目的地11.12.13.14:19。为了 回复,据我所知,两个防火墙都会暂时允许数据包 目标1.2.3.4:9(或路由器后面的NAT映射的LAN地址),但是 防火墙还关心响应的源?
如果响应的来源为11.12.13.14:20(即使用新端口)怎么办? 或者如果响应有一个完全不同的来源91.92.93.94:99怎么办?
对于UDP连接,似乎允许快速有一些价值 更改服务器源。
答案 0 :(得分:0)
出于好奇,我对原始数据框进行了一些测试。 Windows的防火墙 无论我如何更改源信息,但每个都没有丢弃响应本身 我发现的应用程序和API似乎小心确保源地址 和端口永远不会改变。
但是,ISP路由器(实际上它可能是路由器之外的机器) 是在ISP的控制下)确实似乎提供防火墙来防止变化。在 特别是,如果我打开从一台计算机到另一台计算机的UDP连接 整个互联网(所以现在有两个互联网服务提供商思考),一切正常 如果我使用标准地址,那很好。但是,只改变一点 响应的源端口导致数据包被发起者的ISP丢弃。
我想我的ISP正试图保护我,从而超越了要求 LAN-to-WAN NAT转发。