Я подозреваю, что правительство моей страны каким-то образом уничтожает полученный пакет ACK по TCP-соединениям.
Когда я пытаюсь установить TCP-соединение с внешним хостом на портах, отличных от 80, квитирование TCP не будет успешным. Я захватил файл pcap (gmail.pcap: http://www.slingfile.com/file/aWXGLLFPwb ) и обнаружил, что мой компьютер будет получать ACK после отправки TCP SYN, но вместо ответа с SYN ACK он отправит RST.
Я проверил пакет ACK от внешнего хоста, но он кажется вполне законным. Порядковый номер и все известные мне флаги верны. Может кто-нибудь сказать мне, почему мой компьютер (машина Linux) будет отправлять пакет RST?
networking
firewall
tcp
rst
Мохаммад
источник
источник
Ответы:
Из строки cmd:
Это должно проверить, если вы можете SSL-соединение с удаленным хостом. Возможно, сделайте Wireshark из этого трафика.
Если у вас нет openssl, тогда вы можете
apt-get install openssl
.Мы должны определить, где генерируется RST. Это происходит со всеми сайтами SSL? Есть ли у вас прямое подключение к вашему NAT-шлюзу? Ты используешь прокси?
Использование этого метода исключает любые проблемы с вашим стеком SSL.
источник
Хотя иранское правительство, по слухам, время от времени нарушает HTTPS, из предоставленных вами данных просто выглядит как ответный SYN, пакет ACK из 173.194.32.22 прибывает на ваш хост, но никогда не попадает в ваш стек TCP. Стек повторяет отправку SYN через секунду, две секунды, четыре секунды и восемь секунд соответственно - но, очевидно, никогда не видит ответа.
Кажется, что входящий SYN, ACK отфильтрован - у вас нет
iptables
правила для tcp-трафика в цепочке INPUT, у которого естьREJECT --reject-with tcp-reset
цель?источник