Chinaunix

标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制 [打印本页]

作者: wh_hxx 时间: 2004-10-08 10:57
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制

碰上一非常奇怪的事情,请高手们帮我一起分析一下.
我有一个网络,组成为:主机1+cisco 6506交换机上+nokia防火墙+cisco 3550交换机+cisco 6509+主机2,其中6506和6509为三层交换机,3550为两层.一天主机1突然ping 不通主机2,查看nokia放火墙日志,发现在主机2网段许多包address spoofing被放火墙给drop掉了.我们就将结构调整为:主机1+两层交换机+cisoc6509+主机2 ,发现主机1能ping通主机2,但主机2不能telnet 主机1,此时主机1与原cisco 6506为同一网段,且cisco 6506 一个IP 为主机1的默认网关。将主机1的默认网关设为同一网段的另一cisco 6509 IP，则主机2能telnet 主机1。
非常郁闷，解释不同啊。请高手赐教！

作者: wh_hxx 时间: 2004-10-08 12:02
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制
原因是什么呢,请高手们解释一下

作者: whnf 时间: 2004-10-09 17:14
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制
是不是防火墙的端口访问控制策略问题？

作者: zonzi 时间: 2004-10-10 02:21
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制
可能是主机没有开telnetd

作者: hardiwang 时间: 2004-10-10 11:40
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制
强烈建议用扫描扫一下

作者: 左看又看 时间: 2004-10-10 13:21
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制
可能是这样：一开始你仍然把1的default gateway设成6506，但实际上应该是6509，1发ping包给6506，6506发现实际的网关应该是6509，于是它发个icmp重定向包给1，于是1把icmp包发给6509，6509发给2,2返回的reply包到达1 没有问题。这样不断循环，所以1能ping通2.
但是2 telnet 1 的请求能正常到达1,但是1的回复包仍然是发给6506的，6506还是告诉 1默认网关应该是6509。我怀疑问题就是出在这里，telnet和icmp不同，是连续不断的，但也许是1的设计缺陷，却不向6509发送telnet的后续包，导致telnet会话被不断重置。

作者: wh_hxx 时间: 2004-10-13 09:46
标题: 高手请进:ping 得通,但telnet 不上23端口,未做任何端口限制

我比较认同这种解释

补充：没有做任何ACL，主机telnet 服务开启

欢迎光临 Chinaunix (http://bbs.chinaunix.net/)