您的位置：首页 > 其它

iptables防火墙规则导致端口不通的案例分析

2017-08-18 14:38 295 查看

点击查看全文

iptables防火墙规则导致服务器的8080端口访问不通，telnet连接测试提示 No route to host

iptables防火墙规则导致端口不通的案例分析

问题现象：

一台服务器的8080端口访问不通，但其他端口正常，例如ssh的22端口，ping也正常。

从其他机器上进行telnet连接8080端口测试，显示是下边这个结果。

[root@iZ25a9b7bpcZ ~]# telnet xx.xx.xx.xx 8080
Trying xx.xx.xx.xx...
telnet: connect to address xx.xx.xx.xx: No route to host

从telnet测试的结果，仔细看其实会发现有问题，这里提示了错误“No route to host”。

正常进行telnet端口测试，如果端口不通，返回是这样的情况，会提示“Connection refused”

[root@iZ25a9b7bpcZ ~]# telnet xx.xx.xx.xx 9999
Trying xx.xx.xx.xx...
telnet: connect to address xx.xx.xx.xx: Connection refused

而访问8080端口会提示“No route to host”，没有路由能连接到目标地址。但实际ping是通的，路由肯定没有问题，这个异常的提示就是最大疑点。

排查过程：

首先想到是进行抓包，具体看下网络连接情况。

在客户端机器上，进行telnet连接测试，然后用 tcpdump 抓取访问目标ip 120.xx.xx.xx 的数据包。

[root@iZ25a9b7bpcZ ~]# tcpdump -i any -s 0 host 120.xx.xx.xx
19:58:07.985224 IP 101.200.xx.xx.33631 > 120.xx.xx.xx.webcache: Flags [S], seq 783998905, win 14600, options [mss 1460,sackOK,TS val 624230653 ecr 0,nop,wscale 6], length 0
19:58:08.018285 IP 120.xx.xx.xx > 101.200.xx.xx: ICMP host 120.xx.xx.xx unreachable - admin prohibited, length 68

从抓包的结果看，客户端访问目标服务器的8080端口（抓包里端口显示webcache），但目标服务器给返回了一个ICMP协议类型的，提示目标地址不可达。host 120.xx.xx.xx unreachable ，这里明显不正常。

同时也在服务器端进行了抓包，抓取客户端ip 101.200.xx.xx 的连接。

点击查看全文

内容来自用户分享和网络整理，不保证内容的准确性，如有侵权内容，可联系管理员处理

标签：

相关文章推荐

新的分享

章节导航