1
justfly 2016-08-18 10:39:01 +08:00
什么鬼
|
2
aprikyblue 2016-08-18 10:48:14 +08:00 via Android
什么鬼
|
3
hahiru 2016-08-18 10:50:39 +08:00 via Android
蛤?
|
4
aprikyblue 2016-08-18 10:52:15 +08:00 via Android
你确定。。不是禁错了??
|
5
woshisongzhe OP @aprikyblue 我在阿里云后台禁的
|
6
just1 2016-08-18 10:54:43 +08:00 via Android
消失的 2 楼
我猜是浏览器缓存 |
7
Hanxv 2016-08-18 10:57:00 +08:00 via Android
你确定不是缓存?
HTTP 就是建立在 TCP 协议之上,它需要可靠传输。如果使用 UDP ,你能想象你的网站会是什么样子么? 还扯淡,安全性。传输都不可靠,你还敢说安全。 |
8
woshisongzhe OP @just1 不是缓存,我测试了好几次了,也重启了服务器
|
9
cloverstd 2016-08-18 11:00:35 +08:00
一个河,你把桥给撤了,你咋过去
|
10
bdbai 2016-08-18 11:01:28 +08:00 via Android
楼主试试 telnet 你服务器的 80 端口,把请求手打进去看看情况。
|
11
woshisongzhe OP @Hanxv 之前我就只开放 tcp ,其他的都封了
我昨晚开始封了 TCP 之后发现网站也能访问 TCP 协议是指握手之后才进行数据传输,所说 http 协议是建立在 TCP 上,但 HTTP 是无状态响应 |
12
jasonyang9 2016-08-18 11:01:55 +08:00
恭喜 LZ 发现外星科技。强烈建议抓包看看到底是什么鬼
|
13
rock_cloud 2016-08-18 11:02:21 +08:00
用 curl 试试?
|
14
woshisongzhe OP @bdbai 提示‘不是内部命令。。。。’
|
15
0TSH60F7J2rVkg8t 2016-08-18 11:06:15 +08:00
楼主从哪里访问的?访问地址确定不是运营商给返回的缓存页面吗?
|
16
iyaozhen 2016-08-18 11:09:40 +08:00 via Android
楼主也是叼啊。去 17ce 啥的测试下,你会发现全国都红了。
|
17
rphoho 2016-08-18 11:10:17 +08:00 1
0.0 火钳刘明
|
18
derpc 2016-08-18 11:18:52 +08:00 via iPhone
瓜子饮料可乐
|
19
cocochan 2016-08-18 11:20:10 +08:00 2
|
20
bdbai 2016-08-18 11:21:17 +08:00 via Android
@woshisongzhe Windows 需要启用功能, Linux 从包管理器装。
无状态跟 TCP 没关系吧。 |
21
jasontse 2016-08-18 11:22:02 +08:00 via iPad
mark 等真相
|
22
RobertYang 2016-08-18 12:01:44 +08:00 via Android
难道你是 QUIC ? 23333
|
23
xmh51 2016-08-18 12:51:01 +08:00
坐等真相 阿里云被打脸?? 后台 tcp 被禁 网站还能访问 23333
|
24
dndx 2016-08-18 12:54:08 +08:00
楼主这不是高级黑吧。
|
25
wsy2220 2016-08-18 12:56:24 +08:00 via Android
火钳刘明
|
26
woshisongzhe OP @jasonyang9 我现在在服务器外套了个均衡负载,但是我把内外网出入口的 tcp 也都封了,但是也是可以访问,感觉非常奇怪,难道通过阿里云的控制端封禁无效?但是我设置其他的比如 22 端口只留下白名单等设置也都有效
@ahhui 直接通过浏览器输入网址以及通过 app 链接都能获取到结果,包括查询数据库等都能获取到正确结果 @iyaozhen 测了,不过访问的是均衡负载的 ip ,但是我明明把所以内外网的出入口的 tcp 全都封了,也能访问到网站,真是奇了怪了 @xmh51 我刚才直接把域名指向后端服务器,吃完饭回来发现又访问不了,但是通过均衡负载那个域名还能访问,问题是我内网也把它给封了的,难道 tcp 对内外不起作用还是说内网采取的不是 TCP 协议? |
27
jy01264313 2016-08-18 13:44:42 +08:00
什么鬼,没听懂?
|
28
Citrus 2016-08-18 14:01:50 +08:00
阿里云的负载均衡分七层和四层,目测楼主配了一个七层 HTTP 负载均衡然后把四层全封死了。。。这样不能访问才奇怪呢。。。
|
29
Citrus 2016-08-18 14:02:40 +08:00
不过楼主这从现象推原因的逻辑也是挺牛逼的。快去证伪万有引力和牛顿定律吧!
|
30
crab 2016-08-18 14:04:02 +08:00
那你 80 端口监听用啥协议啊
|
31
zealic 2016-08-18 14:07:10 +08:00
阿里云的防火墙我就不说了,各种逻辑不通顺,封了的端口可以继续访问,出口流量配置允许所有流量无效,必须配置指定的外部入站随机端口端 40000+ 允许才能正常工作
|
32
UnisandK 2016-08-18 14:09:06 +08:00
验证到后来楼主变成了阿里黑。。
|
33
woshisongzhe OP |
34
zealic 2016-08-18 14:30:08 +08:00
@woshisongzhe 阿里走的是双向流量收费,本身内网 NAT 貌似也是要收费的;由于它定制了操作系统在内部加入了一些 agent 和内部系统通信和动态更新,所以对于网络防火墙限制有许多例外,总体来说非常恶心。
|
35
woshisongzhe OP @zealic 问题是他们宣称的单向收费(收取出口流量),但是目前也就是在研究研究,先不管那么多了
|
36
FreeDog 2016-08-18 15:10:29 +08:00
那个防火墙不是只针对 CentOS 有效吗?之前看到的提示是那样子,所以就没有用它
|
37
qzy168 2016-08-18 15:24:40 +08:00
ban 了 TCP 还能访问网站是什么原理?
|
38
whahuzhihao 2016-08-18 15:36:07 +08:00
马克一下 坐等下文
|
39
woshisongzhe OP @qzy168 现在的情况是,直接指向 ECS 是访问不了网站的,但是通过均衡负载即使后段的内网出入口封了 tcp 后还是能访问,我怀疑是均衡负载的内网 ip 直接与后端的服务器绑上了,无论后端怎么封,都是可以通过均衡负载访问,因为均衡负载没有设置封禁 tcp
|
40
mengzhuo 2016-08-18 15:50:33 +08:00
哈哈哈哈 今日最佳笑话!!!
|
41
intsilence 2016-08-18 16:22:49 +08:00
哈哈哈哈哈。
|
42
iamzhuyi 2016-08-18 16:43:22 +08:00 via Android
楼主是宋喆
|
43
goodryb 2016-08-18 16:53:00 +08:00
哈哈哈哈哈哈哈哈,楼主 NB
|
44
9hills 2016-08-18 20:09:57 +08:00
看到后来,发现『拒绝』 TCP 协议的办法就是做一个七层的转发。。。。。。
喂喂,这个还用发现么 |
45
woshisongzhe OP @9hills 假如没有现成的七层转发你这么做?
|
46
woshisongzhe OP @9hills 另外,阿里云的 7 层负载不负责给你防 DDOS ,流量过来照样给你导进来
|
47
oska874 2016-08-18 21:34:23 +08:00
好奇,怎么禁掉 tcp ?
|
48
liyvhg 2016-08-18 21:37:46 +08:00 via Android
楼主试一下
sudo iptables -I INPUT -p tcp -j DROP 彻底丢掉 TCP 的包,温馨提示:提前做好备份 |
49
woshisongzhe OP |
50
liyvhg 2016-08-18 21:43:59 +08:00 via Android
@woshisongzhe 估计阿里云自己做了一些控制,放开了常用端口
|
51
9hills 2016-08-18 21:57:37 +08:00
@woshisongzhe 7 层负载均衡会把 SYN flood 给你导进来?
|
52
woshisongzhe OP @9hills 客服工单就这么回复:不具有防 DDOS 功能
|
53
woshisongzhe OP @liyvhg 据我深入了解,均衡负载可以从另一方来说是替换了原 ECS 的公网 ip ,导致你对这个 ECS 怎么设置只要通过均衡负载访问的都无效
|
54
usernametoolong 2016-08-18 23:14:03 +08:00
从上到下看了一遍。。。。。真的是。。。。。
无言以对。。。。。。。。 |
55
justfly 2016-08-18 23:23:35 +08:00
大致看明白了 一台阿里云主机本来有外网 IP 后来在上面加了一个负载均衡 就把原来外网 IP 网卡的 tcp 禁掉了,然后去访问负载均衡器发现能访问。所以得出帖子的结论。
|
56
crazycen 2016-08-19 08:07:14 +08:00 via iPhone
看了评论回复,发现是伪证!
|
57
veelog 2016-08-19 08:24:44 +08:00 via Android
传输层都被禁用了,应用层是如何通信的???
|
58
woshisongzhe OP |