Кто-нибудь знает, можно ли настроить поведение брандмауэра Windows, когда он определил, что пакет запрещен?
По умолчанию он автоматически отбрасывает пакет, и источник не уведомляется о том, что это произошло, что приводит к потенциально длительному времени ожидания в источнике до того, как истечет время ожидания соединения. Для данного TCP-соединения я хочу отправить RST-пакет на входящий SYN-пакет, который был запрещен, а не отбрасывать его без уведомления.
Одна из моих коробок 2K3 делает это, а моя машина XP SP3 - нет. Мой ноутбук XP SP3 тоже использовал это, но мой ноутбук Win7 - нет.
Причина, по которой это произошло, заключается в том, что мне регулярно приходится подключаться к нескольким внутренним ящикам на базе Linux через telnet (у них нет, и я не могу установить SSH), и они будут пытаться использовать идентификатор для идентификации меня, прежде чем представлять имя пользователя. / запрос пароля. Когда я подключаюсь с сервера 2K3, подсказка появляется мгновенно, потому что входящий пакет идентификатора активно блокируется, но с моей машины XP мне приходится ждать около 20 секунд, потому что удаленный хост не уведомлен о блокировке. Это не вопрос безопасности - все локально и никоим образом не связано с Интернетом, у меня есть 2 брандмауэра между этими локальными машинами и WAN.
Я проделал значительный поиск в Google по этому поводу, и самое близкое, что я подошел к поиску каких-либо ссылок на это поведение, эта статья в технике, но это, похоже, прямо противоречит тому факту, что я получаю желаемое поведение на одном из моих ящиков. Он также не содержит информации о том, как настроить этот тип поведения, хотя, читая между строк, я думаю, что это функция стека TCP / IP, а не самого брандмауэра Windows - кажется, что стек TCP / IP (драйвер NAT) спрашивает брандмауэр определяет, разрешен ли пакет, а затем выполняет само действие.
Прежде чем вы спросите, нет, на приставке 2K3 определенно нет стороннего программного обеспечения брандмауэра - и его не было на моем старом ноутбуке - это был просто брандмауэр Windows. Интерфейс конфигурации идентичен интерфейсу XP, который я использую, чтобы написать этот вопрос. Я полностью осознаю, что это, скорее всего, будет связано с игрой с настройками реестра, но я не знаю, с чего начать ...
Причина - http://technet.microsoft.com/en-us/library/dd448557%28WS.10%29
Исправить - http://msdn.microsoft.com/en-us/library/ff720058%28v=prot.10%29.aspx
Если Ключей / значений не существует - создайте. После внесения изменений необходимо перезапустить службу брандмауэра Windows.
Несмотря на то, что у вас есть возможность отклонять попытки подключения с помощью RST или ICMP-сообщения о недоступности пункта назначения со многими фильтрами пакетов, брандмауэр Windows, похоже, на этом этапе не настраивается. Разница в наблюдаемом поведении, вероятно, связана с отключенным межсетевым экраном - в этом случае сам стек TCP / IP просто отправит ответ RST, если порт IDENT не открыт.
В качестве обходного пути для вашего случая я бы порекомендовал именно это - добавьте порт 113 / tcp в список исключений для брандмауэра Windows. Пока на порту 113 ничего не прослушивается, вы увидите желаемый ответ RST из стека вместо серии таймаутов SYN и повторных передач.
На вашем компьютере с Win2k3 и ноутбуком с XP SP3 запущены ли какие-либо службы, которые прослушивают локальный порт, который запрашивает идентификатор?
RST может быть отправлен, например, в ответ на получение пакета для закрытого сокета.