0

自宅の DSL ネットワークから特定の Web サイト (www.example.com など) にアクセスできなくなりました。Wireshark やその他のツールを使用して、次のプロパティを確認しました。

  1. リクエストがサイトのポート 80 に送信されると、元の TCP SYN は SYN/ACK 応答を取得しません
  2. これは、すべてのプラットフォーム (Windows、iOS) で発生します。
  3. Web サーバー (www.example.com) は、要求が別の IP から送信されたときに応答します (たとえば、私の職場からの Web サイトは正常に動作します)。
  4. ホーム ネットワークは、ネット上の他のすべての Web サイトにアクセスできます (ホーム ネットワークは、そのサイトを除いて正常に動作します)。
  5. 同じ IP でホストされている他の Web サイトも応答しません
  6. サーバーのIPへの他のポート(例:FTP、ポート21)での通信は機能します
  7. Ping と tracert が成功する
  8. 高レベルのサーバー ログに要求が記録されない

分析: 上記のことから、ルートに沿ってリクエストをフィルタリングするファイアウォールが必要であると思われますが、ポート 80 のリクエストのみをフィルタリングします。このファイアウォールを配置できるいくつかのオプションが表示されます。

  1. 自宅のモデムで
  2. ISP によってルートの脚に実装されていますか (何らかの理由でそのサイトをブロックしていますか)?
  3. サーバーで(何らかの理由でパブリックIPを提供していません)

ご想像のとおり、ISP とサーバー ホスティング会社は、それぞれ相手に責任を負わせています。問題がどこにあるのか、調査したいと思います。

質問: 元の SYN メッセージがどこに送信されるかを診断するにはどうすればよいですか?

  • モデムでブロックされていますか?
  • サーバーに到達しますか?
  • サーバーは応答 (SYN/ACK) し、応答はブロック/ダンプされますか?
4

1 に答える 1

0

最初に質問に答えるには:

1)モデムはブロックやフィルタリングなどを行いませんが、ルーターは行います。ルーターがあり、インターフェイスにアクセスできる場合は、機器がフィルタリングされているかどうかを判断するのはあなたです。

2) サーバーの管理者のみがこの情報を伝えることができます。

3) 上記参照。

今...サーバーの数を知っている管理者として、私は時々特定の宛先からの特定のポートをブロックします。たとえば、「既知の Web サイト スパマー」 (Spamhaus、Shadowserver などを介して) を見つけた場合、ファイアウォール ルールを書き換えるためのアプリケーションを用意しています。たとえば、$BAD_USER が PORT80 にアクセスしようとすると、ipfw (そのポートから彼をファイアウォールします)。そのため、IP または IP 空間全体 (CIDR) がサーバーからブラックリストに登録されている可能性があります。

Linux または BSD を使用している場合は、tcptraceroute を試すことができます。

tcptraceroute www.this-site.com 80

何が起こっているのかを示す可能性のある場所。ISP が自分の考えに関係なく何かを恣意的にブロックすることは、最善の利益にはなりません。(少なくともここ米国ではそうではありません)。ブロッキング/フィルタリングは、それらのルールを処理しなければならない機器に負担をかけます (このパケットがルール 1、いいえ、ルール 2、いいえ) にあるかどうかを確認してください)。ISP機器(コア)は、入ってくるのと同じくらい速く通過することを意図しています。「N人のユーザーのためにこのパケットを座って処理する」のではありません

于 2013-05-22T14:19:54.427 に答える