Widziałem wiele zasobów wyjaśniających, jak skonfigurować zaporę ogniową serwera, aby zezwalać na ruch przychodzący i wychodzący na standardowych portach HTTP ( 80
i 443
), ale nie mogę zrozumieć, dlaczego miałbym potrzebować któregoś z nich. Czy muszę odblokować oba, aby „zwykła” strona internetowa działała? Aby przesłane pliki działały? Czy istnieją sytuacje, w których wskazane byłoby odblokowanie jednego i pozostawienie drugiego zablokowanego?
Przepraszam, jeśli to podstawowe pytanie, ale nie mogłem go nigdzie wyjaśnić (nie jestem również native speakerem angielskiego). Wiem, że na „zwykłej” stronie internetowej klient jest zawsze tym, który inicjuje żądanie, więc zakładam, że serwer sieciowy musi akceptować ruch przychodzący na tych portach, a mój zdrowy rozsądek mówi mi, że serwer może wysłać odpowiedź bez odblokowywania czegokolwiek innego (inaczej nie byłoby sensu mieć dwóch rodzajów reguł). Czy to jest poprawne?
Ale czym jest wychodzący ruch sieciowy (usługi) i jaki byłby z niego użytek? AFAIK, jeśli serwer chciałby nawiązać połączenie z innym komputerem, konkretny port, który ma znaczenie, to ten na drugim końcu (tj. Port docelowy byłby 80
), na jego końcu można by użyć dowolnego wolnego portu ( port źródłowy byłby losowy ). Mogę otwierać żądania HTTP z mojego serwera (używając wget
na przykład) bez odblokowywania czegokolwiek. Zakładam więc, że moje pojęcia „przychodzące” i „wychodzące” są w jakiś sposób błędne.
źródło
80
i433
nie musi martwić się połączeniami wychodzącymi na tych portach, ale musi zezwalać na połączenia wychodzące w zakresie portów dynamicznych / efemerycznych, prawda? Nadal jestem trochę mylony z wychodzącą rzeczą: jeśli klient sieciowy spróbuje połączyć się z witryną, portem docelowym będzie80
, ale portem źródłowym może być każdy. Który port bierze pod uwagę zapora ogniowa na tym komputerze , podejmując decyzję o zablokowaniu / odblokowaniu?W twoim przypadku musisz zezwolić tylko na przychodzące żądania do portu 80.
Po ustanowieniu połączenia zapora automatycznie wypuści pakiety z powrotem do portu klienta. Nie musisz tworzyć do tego reguł, ponieważ zapora zna.
źródło
Bez żadnego kontekstu, co oznacza konkretny tekst, który czytasz, gdy odnoszą się one do ruchu „wychodzącej usługi internetowej”, w mojej odpowiedzi przyjmuję najprostsze podejście:
Masz zaporę na wejściu / wyjściu z sieci.
Zapora jest w stanie całkowicie zablokowanym i nie pozwala na ruch przychodzący ani wychodzący.
Aby Twoi klienci wewnętrzni mogli przeglądać zewnętrzne strony internetowe, musisz skonfigurować regułę „wychodzącej usługi internetowej”, która pozwala im łączyć się ze wspomnianymi zewnętrznymi stronami internetowymi.
Mówiąc najprościej, zasada brzmiałaby mniej więcej tak:
DOWOLNY host wewnętrzny na DOWOLNY host zewnętrzny, gdzie miejsce docelowe = Port TCP 80, a następnie ZEZWALAJ.
źródło