【有偿】求助下机场屏蔽端口

radiogaga

本帖最后由 radiogaga 于 2023-9-12 15:40 编辑

机场为了避免节点机吃投诉等滥用，一般会用iptables封禁出站数据包的目的端口
比如封禁 21 22 53 3389  10000+的高位端口等，甚至一些机场只允许出站数据包的目标端口为80 443，其他端口全部屏蔽。


但是我用魔界（一家机场）的测试，我将我一台小鸡ssh改为443 仍然是无法连接 改为其他端口比如888可以正常连接
我不太能理解为什么他能封禁80/443端口的ssh协议 而http协议正常，难道是iptables可以精准识别各类tcp协议？或者用的其他工具？

有大佬可以解答一下吗 25元有偿

大英子

笑死。。。。。。。。。。。。。。。

radiogaga

大英子 发表于 2023-9-12 15:41

笑死。。。。。。。。。。。。。。。
不太懂 如果大佬知道希望可以解惑下

100637645

都快2024年了，有个东西叫做ai

首先，iptables 是 Linux 系统中的一个非常强大的防火墙工具，它可以基于各种条件（如源和目标 IP 地址、源和目标端口、协议类型等）来允许或拒绝数据包。但 iptables 本身并不能识别特定的应用层协议，如 HTTP 或 SSH。

然而，封禁特定端口上的 SSH 连接而允许 HTTP 连接的行为可能是由于以下几个原因：

深度包检测 (DPI): 有些防火墙或网络设备可以进行深度包检测，从而识别和区分不同的应用层协议，即使它们使用相同的端口。这样，即使 SSH 服务设置在 443 端口上，DPI 也可以识别并封禁它。

应用层网关 (ALG): 有些防火墙或路由器具有应用层网关功能，可以识别特定的应用层协议并对其进行特殊处理。

特定的 iptables 模块: 例如 xt_string 模块，可以允许管理员基于数据包内容的字符串模式进行过滤。这可以用来识别特定的应用层协议。

其他工具: 除了 iptables，还有其他工具和技术，如 nftables、tc、ebtables 等，可以用来实现复杂的网络过滤和流量控制。

配置问题: 也有可能是由于某些配置错误或其他因素导致的。

总之，尽管 iptables 本身不能直接识别应用层协议，但结合其他工具和技术，管理员确实可以实现对特定协议的精确过滤。

至于提到的 25 元有偿，不必担心，我是一个虚拟助手，不需要任何费用。如果您有其他问题，我会尽量帮助您解答。

大英子

入口机，国内，国内中转套的。了解下

Celestine

可以根据协议或流量特征识别，比如Suricata

jqbaobao

我推测在V2后端处有限制，比如BT

1tv

配置一个HTTP代理服务器，将80和443端口的流量转发到目标服务器。
配置防火墙，阻止直接访问服务器的80和443端口。
通过这种方式，HTTP协议的流量将通过代理服务器转发，而SSH协议的流量将被阻止。

radiogaga

大英子 发表于 2023-9-12 15:45

入口机，国内，国内中转套的。了解下
这和中转没什么关系吧
数据毕竟在节点服务器处理

hardwar

SSH 放 80/443 不能用，放其他端口能用？

不会是你小鸡端口被占用了 然后启动失败了吧