Быстрый ответ, брандмауэр для сервера 1 отклоняет пакеты, а брандмауэр для сервера 2 отбрасывает их.
REJECT: отклонить пакет и уведомить отправителя о том, что мы сделали это, и остановить обработку правил в этой цепочке.
DROP: молча игнорировать пакет и прекратить обработку правил в этой цепочке.
Сервер 1 (iptables) отклоняет пакет и отвечает сообщением о недоступности узла ICMP.
REJECT all -- anywhere anywhere reject-with icmp-host-unreachable
Он говорит, что хост недоступен, как восходящий маршрутизатор, но подразумевает, что сервер активен и доступен, потому что его IP-адрес все еще виден в исходном IP-адресе ответного пакета.
Это правило можно настроить так, чтобы просто отклонить с отказом:
REJECT all -- anywhere anywhere reject-with icmp-host-prohibited
Сервер 2 (брандмауэр Amazon) отбрасывает пакеты, он заставляет клиента повторять попытку подключения до тех пор, пока не будет превышено пороговое время, затем он генерирует сообщение «Время подключения out "сообщение об ошибке.
DROP all -- anywhere anywhere
Есть две основные причины такого поведения:
запрос входа в систему
и запуск безопасного ввода и обработки пароля. Проблема возникает из-за того, что ваша система очень перегружена и не может правильно сбалансировать необходимые ресурсы, что приводит к тайм-ауту для основных задач.
Когда вы все же найдете программу-нарушитель, вам следует найти способ предотвратить этот тип зависания, возможно, путем ограничения использования памяти, приоритета обработки и т. Д.