ICMP: code :13 = Communication Administratively Prohibited

已于 2023-07-27 17:15:20 修改
阅读量1.3k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 网络 文章标签: linux 服务器 网络
于 2022-08-15 16:14:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36428903/article/details/126346705
网络 专栏收录该内容
239 篇文章 ¥59.90 ¥99.00
订阅专栏

RFC: 792 INTERNET CONTROL MESSAGE PROTOCOL
RFC:1812: Requirements for IP Version 4 Routers
type 3, Destination Unreachable
13 = Communication Administratively Prohibited - generated if a router cannot forward a packet due to administrative filtering;

这个错误的原因可能是Linux上打开了firewalld;
从错误的注解可以看的,这个错误的原因是:管理员主动设置禁止交流的配置。所以绝大多数通过管理员做配置的防火墙,iptables之类的软件,可能会回复icmp 带着 code = 13。

当然也可以在iptable设置拒绝包时提示 code=13;

对ping request 的反应参数:
echo 1 > /proc/sys/net/ipv4/icmp_echo_ignore_all
echo 0 > /proc/sys/net/ipv4/icmp_echo_ignore_all

man icmp

13ICMP
w_45678910的博客
08-08 336
文章目录ICMPICMP数据包格式lCMP消息类型和编码类型 Internet控制报文协议ICMP( Internet Control Message Protocol)是网络层的一个重要协议。ICMP协议用来在网络设备间传递各种差错和控制信息,它对于收集各种网络信息、诊断和排除各种网络故障具有至关重要的作用。使用基于ICMP的应用时,需要对ICMP的工作原理非常熟悉。 ICMP Internet Control Message Protocol,因特网控制消息协议 用于可达性测试 使用ping命令调用
ICMP协议详解
刘贝斯老师的博客
04-26 680
文章目录ICMP协议说明ping返回字段详解ping百度详解ICMP数据包抓取ICMP数据包详解数据结构封装ICMP数据包结构 参考视频 https://www.bilibili.com/video/BV1MQ4y1f7ph/ ICMP协议说明 ICMP协议主要是通过ping这个工具来实现的 ping返回字段详解 ping百度详解 C:\Users\Bonnie1103>ping www.baidu.com 正在 Ping www.a.shifen.com [180.101.49.11] 具有 3
ICMP报文Destination unreachable (Communication administratively filtered)
qq_51247411的博客
04-20 1196
Communication administratively filtered
icmp协议_13网络信鸽ICMP协议
weixin_39912580的博客
11-30 341
当出现网络不通的情况时,我们往往第一反应是ping一下或者telnet下端口。如果不通,往往需要traceroute跟踪下路由看看到哪一跳不通,好方便定位问题。由于telnet用的TCP协议,暂时我们不去讨论,但是ping和traceroute都是基于ICMP协议,我们来讨论讨论,了解它的细节帮助我们以后遇到网络问题更有头绪,虽然不要我们研发来处理,但是会提高工作沟通的效率!由于就像是获...
计算机网络-13-网络层之ICMP协议
FairLikeSnow的博客
06-05 199
主要用来配合IP工作。 ICMP首部结构: 分两种
防火墙拦截 ICMP 时间戳 (类型 13)
MenzilBiz的博客
10-17 1361
网络管理中,ICMP(互联网控制消息协议)是一种用于发送错误消息和操作信息的协议。ICMP 时间戳请求和回复(类型 13 和 14)可以用于测量往返时间,但在某些情况下,它们可能被认为是安全风险。因此,拦截这些 ICMP 消息是提升网络安全的一种有效措施。通过拦截 ICMP 时间戳请求和回复,可以有效提升网络安全性,减少潜在的攻击面。在配置防火墙时,请务必定期检查并更新规则,以确保系统始终处于最佳安全状态。这表示 ICMP 时间戳请求和回复已成功被拦截。
icmp_type and code.docx
09-26
- **Code 13**: Communication Administratively Prohibited by Filtering - 由于过滤,通信被强制禁止。 - **Code 14**: Host Precedence Violation - 主机越权。 - **Code 15**: Precedence Cutoff in Effect - ...
思科GNS3配置ACL访问控制列表(标准、拓展、命名控制列表)
weixin_45409403的博客
11-15 2218
实例一:标准访问控制列表的配置 拓扑图如下: 通过配置标准访问列表,禁止PC1主机访问PC3主机。 (1)进行sw的配置如下: SW#configure terminal //进入全局模式 Enter configuration commands, one per line. End with CNTL/Z. SW(config)#no ip routing //关闭路由功能 SW...
TCP/IP illustrated 阅读笔记(六) ICMP协议
胡LiuJia@BLOG
10-30 1649
1.        ICMP简介(ICMPv4) ICMP全称为Internet ControlMessage Protocol ICMP为IP协议提供控制信息和diagnostic ICMP装在IP数据包中,但是不是传输层协议(该层的协议为应用进程提供端到端的通信服务)也不是网络层协议(网络层提供路由和寻址的功能),算2.5层 需要注意的是,路由器由于拥塞丢包的行为不会生成ICMP me
【问题记录】网络错误:Destination unreachable (Host administratively prohibited)
silent0clown的博客
01-22 2864
意思是:目的主机被强制禁止。基本可以断定是防火墙的问题。
网络错误:Destination unreachable (Host administratively prohibited)
热门推荐
内核思考
05-04 1万+
当其他主机向本地虚拟机中运行的服务程序发送数据时,服务端无法收到数据,wireshark抓包分析后,发现错误提示信息:Destination unreachable (Host administratively prohibited)。意思是:目的主机被强制禁止。基本可以断定是防火墙的问题......
能ping通虚拟机,但snmp报文 Destination unreachable(Host administratively prohibited
datan1020的博客
11-01 1033
如题目,使用virtual box 虚拟机,虚拟机系统为centos6.5, 主机系统为win10 内外设置ip在同一网段后,互相能ping通,centos 系统开启snmp服务,此处说明以下, snmp服务为git上开源的,并没有通过yum等获取,所有通过ps -ef|grep snmpd 可以查到进程,但是chkconfig命令查看时,snmpd服务为关闭,但这并不影响snmp...
ICMP的type字段、code字段
u013434525的博客
05-09 4719
此外,ICMP报文中的Type字段是必需的,它出现在每个ICMP报文的开始位置,并且伴随着一个Code字段,共同定义了特定类型的ICMP消息。ICMP(Internet Control Message Protocol)是用于在IP主机和路由器之间传递控制消息的协议,其中包括了多种类型的报文,用于不同的网络通信情况。超时消息是ICMP中的一种差错报文,它的Type字段编号为11。这些类型编号代表了ICMP的不同功能,其中一些类型如3(目的不可达)、11(时间超过)和5(重定向)在网络诊断中非常常见。
ICMP host administratively prohibited记录
Thinkcortex的博客
05-24 2844
非阻塞raw socket ,发送icmp报文, 当发送完某些包后, socket一直是可读状态,但进行recv时异常,[Errno 11] Resource temporarily unavailable。 EAGAIN在非阻塞IO下可以忽略。 对此过程进行抓包。 网上查到有人说是防火墙问题。host administratively p...
ICMP协议
yueyadao的博客
01-20 1299
ICMP(internet 报文控制协议) 目的:为了更有效的转发IP数据及提高成功交付的机会 实质:ICMP报文控制协议是为路由器和主机反馈差错和异常情况的工具 ICMP数据报分为两类: 1.ICMP差错报告报文(类型3、5、11、13等) 2.ICMP询问报文(类型0、8、13、14等) ICMP数据包头结构: ICMP数据包头包括类型字段,进一步识别某些类型代码字段,校验和以及可变字段一共...
cpe解读 nmap_NMAP六种端口状态解读-转载
weixin_36025345的博客
02-15 475
转自:nmap把端口定义为六种状态的解读 - CSDN博客https://blog.csdn.net/novicecoder/article/details/52177234NMAP六种端口状态解读Nmap是一种用来发现网络中主机和服务的安全扫描工具,从而能够产生一个网络“地图”,为了完成这个功能,nmap会向每个目标主机发送特定的报文,从而从目标主机返回报文(或者无返回报文)来判断目标主机的属性...
Unit 5: Access Control Lists 5.1 Access Control Lists ACL Demos 1
11-27 269
ABOUT THESE VIDEOS These demo videos show how to configure and test a Standard ACL on a network. You will be able to perform these tasks in a simulated network. During the videos, you may want ...
网络基本功(十四):细说诊断工具ping
学习,思考,记录
02-27 2123
转载请在文首保留原文出处:EMC中文支持论坛https://community.emc.com/go/chinese 介绍   ping的工作原理很简单,一台网络设备发送请求等待另一网络设备的回复,并记录下发送时间。接收到回复之后,就可以计算报文传输时间了。只要接收到回复就表示连接是正常的。耗费的时间喻示了路径长度。重复请求响应的一致性也表明了连接质量的可靠性。因此,ping
icmp错误分类
安子自语
09-25 7618
ICMP类型:    0     Network Unreachable——网络不可达            1     Host Unreachable——主机不可达               2     Protocol Unreachable——协议不可达             3     Port Unreachable——端口不可达                 
vscode远程主机connectionToken==9bc9727d-62d1-4a5b-bb99-566ff3ade431== 0861009a8842: end channel 3: open failed: administratively prohibited: open failed channel 4: open failed: administratively prohibited: open failed
最新发布
06-07
<think>嗯,用户遇到了一个很具体的网络连接问题:VSCode远程连接时出现'administrativelyprohibited'错误。这个错误提示比较专业,说明用户可能是有一定技术背景的开发人员或系统管理员。从ta急切地寻求解决方案来看,可能正在远程办公或需要紧急调试服务器,情绪上应该有些焦虑。回顾之前的引用内容,虽然提供了防火墙规则执行失败和IP层测试的相关技术背景,但并没有直接解决这个特定错误。引用[1]中提到的防火墙脚本执行问题倒是有些关联,因为SSH连接中断往往和防火墙规则变更有关。这个错误的本质是目标服务器拒绝了我们的连接请求,核心排查点应该是三个层面:服务器防火墙配置(尤其是iptables/nftables)、SSH服务自身的访问控制列表、以及中间网络设备的限制。其中引用[1]和[2]提到的规则执行顺序和严格模式测试特别值得注意——防火墙规则顺序错误可能意外阻断连接,而SSHD的严格模式可能因认证失败直接返回'prohibited'提示。考虑给用户一个阶梯式的解决方案,优先检查服务器端最可能出现问题的地方。首先建议查看服务器防火墙状态,因为这是最高发的原因;其次是SSH配置文件和日志,最后是网络层设置。对于引用[3]提到的hosts通信规范,虽然与错误没有直接关联,但IP层协议一致性始终是基础保障。计划在回答中融入引用[1]的关键点:当用户通过SSH修改防火墙时,如果规则有错误可能导致连接中断。这时候建议用户使用nftables而不是iptables来操作防火墙,因为nftables规则加载更原子化。同时在测试规则时务必要保持两个活跃会话,这点需要特别强调,否则用户可能会把自己锁在服务器外。</think> 针对VSCode远程连接时出现的 `administratively prohibited` 错误,此错误通常表示目标服务器**主动拒绝了连接请求**。以下是系统化的排查与解决方案: --- ### 一、核心原因分析 此错误表明连接尝试被目标服务器的策略明确阻止,主要原因包括: 1. **服务器防火墙拦截**(引用[1]关联) - 服务器防火墙规则(如`iptables/nftables`)可能丢弃或拒绝SSH端口(默认22)的连接 - 若通过SSH修改防火墙时规则错误,可能导致连接中断(引用[1]中提到的规则执行失败场景) 2. **SSH服务配置限制** - `sshd_config` 中 `AllowUsers`/`AllowGroups` 未包含当前用户 - `DenyUsers` 或IP黑名单包含当前用户/IP 3. **目标主机网络层限制**(引用[2]关联) - 路由器或主机执行了协议合规性检查(如RFC 1122),拒绝非法包(引用[3]) --- ### 二、分步解决方案 #### ▶ 第一步:检查服务器防火墙规则 ```bash # 查看当前iptables规则(需提前登录服务器) sudo iptables -L -n -v --line-numbers # 检查是否存在针对SSH端口的DROP/REJECT规则 # 重点排查INPUT链和FORWARD链 # 临时开放SSH端口(测试用) sudo iptables -A INPUT -p tcp --dport 22 -j ACCEPT ``` > **关键提示**:通过SSH修改防火墙时,务必保持**至少两个活动会话**(引用[1]),避免规则错误导致连接中断。 #### ▶ 第二步:检查SSH服务配置 在目标服务器修改 `/etc/ssh/sshd_config`: ```ini # 确保允许用户登录 AllowUsers your_username # 添加你的用户名 # 注释或删除拒绝规则 # DenyUsers restricted_user ``` 重启服务后验证: ```bash sudo systemctl restart sshd sudo systemctl status sshd # 查看服务状态 ``` #### ▶ 第三步:网络层排查(引用[2][3]) 1. **主机协议栈检查** - 使用 `tcpdump` 捕获SSH握手包: ```bash sudo tcpdump -i any port 22 -nnvvv ``` - 检查是否有非法IP包被丢弃(RFC 1122合规性问题) 2. **中间设备策略** - 联系网络管理员确认路由器/防火墙是否拦截: - 检查ACL策略是否允许源IP访问目标22端口 - 是否启用IP头部校验(引用[2]) --- ### 三、诊断工具使用 | 工具 | 命令示例 | 作用 | |------|----------|------| | `nc` | `nc -zv 目标IP 22` | 测试端口连通性 | | `ss` | `ss -tuln | grep :22` | 检查SSH端口监听状态 | | `journalctl` | `journalctl -u sshd -f` | 实时查看SSH登录日志 | --- ### 四、备用连接方案 若仍无法解决,尝试: 1. 使用SFTP客户端(如WinSCP)验证服务器连通性 2. 通过 **VSCode的"Remote-SSH: Show Log"** 查看详细错误日志 > 路径:Command Palette → `Remote-SSH: Show Log` → `Remote - SSH` --- ### 五、引用说明 [^1]: 防火墙规则执行失败可能导致连接中断,尤其在SSH会话中修改规则时需保持冗余会话 [^2]: 网络设备需遵守RFC规范丢弃非法包,可能因协议栈问题触发拒绝 [^3]: RFC 1122定义了主机通信层基础要求,违规包可能被拒绝
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

mzhan017

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值