问题遇到的现象和发生背景
问题描述
我尽量描述清楚这个现象
两个服务器上有strongswan的vpn服务,描述A->B建立服务发生的现象,B->A现象一致
服务器情况概述
A、B两台服务器目前均开启firewall防火墙,VPN的协商端口为udp500,两端防火墙均没有配置放开udp500端口
操作
A向B发起建立连接服务,数据包源端口500,目的端口500,在B机器抓包,发现没有相关数据包,证明防火墙将包丢弃
此时在B机器上向A发起建立连接服务,服务正常建立了起来
我的疑问和猜想
疑问,在没有开启防火墙端口的情况下,服务应该不能建立
猜想:
由于查看防火墙的机制,只有与传出流量有关,其余流量流量均拒绝(没有其他规则的情况下),是否A->B发起服务时,源目的端口都是500,B的防火墙拒绝后,由于A还有建立服务的尝试次数,依然在发包,B这时向A发起服务,A会认为这是与传出流量相关所以不拒绝数据包
希望有明白的人可以答疑解惑
