防火墙是如何区分数据我是请求返回的, 还是从服务器主动向我发送的?

資深大佬 : riozhu 1

这个问题来源于今天对于 FTP 被动模式和主动模式的理解, 我尝试理解为什么需要被动模式.我看到这句话”当 FTP 客户端是在内网的时候，通过 NAT 或者其他防火墙配置，主动模式很难进入。所以主动模式已经不流行了。”

我的问题: 比如我在内网的电脑(在防火墙后面), 是如何区分返回的数据是来自我请求的(比如我主动去访问一个网页, 网页服务器返回网页数据, 防火墙没有拦截) 但是,其他电脑(或者服务器)主动向我发送请求(在我的电脑看起来同样是一串数据), 这样的请求会被防火墙拦截. 请教一下这是如何做到的? 谢谢各位.

大佬有話說 (7)

資深大佬 : kuro1

TCP 握手阶段

資深大佬 : cycloner

看看 tcpip 原理你就解惑了

資深大佬 : kangsheng9527

回复的都装大神，，，哎。。。

資深大佬 : whywhywhy

一个是 TCP 握手阶段的原理，网上应该很多科普视频

还有就是 NAT 的原理，也有很多视频。。。

看一看吧，也许你会明白，也许你始终明白不了，也没办法了。

@kangsheng9527 讲起来太长，理解起来不容易的。这个不是装不装，，不了解二层交换三层网络数据交换技术，想要理解真的有难度。

資深大佬 : ddefewfewf

哪个防火墙 gfw

資深大佬 : Jirajine

因为有连接追踪机制。
简单来讲就是一方先发送的包（任意协议）过防火墙时会被记录下来，从而可以识别对方回复的包。
如果是 TCP 因为 TCP 握手和回复有固定格式所以识别起来更容易，UDP 的话就得靠超时机制了。
你可以 cat /proc/net/nf_conntrack 查看当前系统追踪的连接。

資深大佬 : zhs227

conntrack，在 conntrack 里有记录的反向才能通过。