如何检查防火墙引起的端口不通

主要现象是在服务器本机上telnet 某一个端口是正常的，但是在服务器外面telnet该端口却是不通的。一般情况下可以判断为防火墙问题。如果是dns软件的，可以通过nslookup在服务器上测试，及在服务器分别外测试一下来判断。如果服务器上测试有结果出来，服务器外没有响应，一般就是防火墙问题。防火墙分为服务器本身的防火墙及机房的硬件防火墙。一、服务器本身防火墙一般有三个地方需要检查：1控制面板上点开windows自带的防火墙，看是否启用，端口是否打开，是否有限制了IP链接2管理工具-本地安全策略-IP安全策略在本机算机,看是否设置了安全策略，如果有“策略已指派”的可以暂时不指派测试看。3检查本地链接中IP过虑设置。看是否已设置，注意IP过虑设置完了需要重启服务器才会生效。本地防火墙都检查了，确认没有限制该端口，一般就是机房硬件防火墙限制了，需要通知机房处理。二、如果进一步确认一定是机房防火墙的问题：如果客户在同一个机房有两台机器的话，可以在另外一台机器上telnet这个机器的相关端口，或用nslookup测试udp端口。如果在机房里的另一台机器上是通的，就可以确认不是服务器本身的防火墙引起的，一定是机房的防火墙引起的。三、有一些机房防的硬件防火墙，会导致在服务器外telnet相关的端口，会也是通的。但是相关的服务却不能用。这种情况可以通过两种方法来判断。1在服务器内及服务器外，分别telnet相关端口后，可以输入回车键，或其它键，观察cmd窗口的反应。如果被机房硬防隔开了，一般窗口的响应上会有差别。

有防火墙，只允许PING，因为PING和TELNET是针对不同的端口，TELNET不通，一是对方的相关服务没有启来，再就是有防火墙阻拦；telnet能通,表示两台计算机之间建立了连接通道。理论上是能ping通的，如果不能ping通，可能的原因是对方主机关闭了ping回显，或者是对方的防火墙阻止了ping发送的数据包。

拓展回答：由于重启后，故障电脑互换，这样的结果不太符合替换法的原理。因此判断它为特定偶然感知或者表面现象，而不是真实现象；筛选已知条件，发现telnet不通而PING通。而同时可以TELNET的CON数是可以调整的，比如一般的交换机就是默认数就是为。而telnet的释放也可以设置，因此初步判断是X端受限。

---