サーバー1:
iptablesファイアウォールで保護されています。
サーバー2:
Amazonセキュリティグループファイアウォールで保護されています。
両方のポートで、いくつかのブロックされた(閉じた)(開かれていない)ポートをpingしてみましょう。
サーバー1:
nc -w 1 <ip> <port>
Ncat: No route to host.
サーバー2:
nc -w 1 <ip> <port>
Ncat: Connection timed out.
なぜ違いがありますか?
これら2つのエラーメッセージの違いは何ですか? Amazonファイアウォールはiptablesファイアウォールと
どう違うのですか?
ベストアンサー1
おそらく、AWSファイアウォールはホストを見つけることができず、iptablesファイアウォールがまったく応答しないことを示すICMPパケットを返しています。
バラよりhttps://en.wikipedia.org/wiki/Internet_Control_Message_Protocol#Destination_unreachable。
単にTCPリセットを送信することと比較して、ICMP「到達不能」の利点は次のとおりです。
- UDPにも同じ効果が適用されます。 UDP は、データ受信医を表現できません。
- AWSの場合、パケットはホストではなくAWSインフラストラクチャから来るため、TCPリセットを作成するために、AWSは保護されたホストの代わりにデータを「偽造」する必要があります。
- ホストに接続できない場合、一部の自動ポートスキャナはすべてのポートを試すことなく放棄できます。