Назад | Перейти на главную страницу

исходящие порты, которые всегда открыты

Какие порты НИКОГДА нельзя заблокировать для исходящего трафика в брандмауэрах, так как это остановит базовое использование Интернета? Вот некоторые из них: порт 53 udp / tcp - dns, его блокировка не позволит пользователям получить доступ к любому домену, порт 80 tcp - http порт 443 tcp - https Все ли это, и ВСЕГДА ли эти порты доступны для исходящего трафика на каждом хосте, подключенном к интернет?

В правилах исходящего брандмауэра нет портов, которые нужно открывать для полного доступа.

Зачем? Потому что, передавая запросы, мы можем добиться того же, но с большим контролем.

Три самых распространенных:

  • HTTP-прокси (чтобы вы могли закрыть порты 80 и 443)
  • Внутренние DNS-серверы (запросы прокси во внешний мир)
  • Внутренний почтовый сервер (ретранслирует входящую и исходящую почту в мир)

Затем вы просто настраиваете свой брандмауэр, чтобы разрешить подключения ТОЛЬКО с IP-адресов, связанных с машинами, на которых запущены эти службы.

По сути, это субъективный вопрос, на который нет правильного ответа.

Вау, это вопрос, на который есть довольно широкий и сложный ответ.

  1. Хосты обычно не подключаются к Интернету «напрямую». Обычно они сидят за каким-то межсетевым экраном \ роутером.

  2. Исходящие порты не открываются на узле, если узел не имеет активного соединения с другим узлом.

  3. Хосты не подключаются ИЗ порта 80, порта 443 и т. Д., Они подключаются к порту 80, порту 443 и т. Д.

  4. Указанные вами порты являются входящими портами на хосте назначения. исходящий порт на исходном хосте - это случайный порт, выбранный из временного диапазона портов.

  5. Технически вам не нужно открывать исходящие порты на брандмауэре. Если вы хотите изолировать свою сеть от Интернета, вы заблокируете весь исходящий трафик.

  6. Брандмауэры обычно имеют так называемое правило «ЛЮБОЙ ЛЮБОЙ» для исходящего трафика, что означает, что любой исходящий трафик, поступающий на внутренний интерфейс брандмауэра (локальная сеть), не ограничен, а обратный трафик не ограничен.

  7. Веб-серверы прослушивают ВХОДЯЩИЕ подключения на порту 80. DNS-серверы прослушивают ВХОДЯЩИЕ подключения на порту 53 и т. Д. Это входящие порты, а не исходящие.

Стоит отметить, что порты не обязательно должны быть полностью открыты или закрыты. Брандмауэр может пропускать стандартные порты, связанные с DNS, например, только на локальные DNS-серверы, или прозрачный прокси-сервер может захватывать соединения и пересылать их только в конечный пункт назначения, если протокол правильный (это может, например, помешать вам использовать порт 80 для исходящих P2P-соединений без блокировки обычного HTTP-трафика - хотя сам по себе он не остановит вас, пытаясь использовать HTTP-> P2P-прокси).

Вы не можете гарантировать, что какой-либо порт будет открыт, или, если вы обнаружите, что он открыт в некоторых случаях, он может быть открыт не для всех попыток связи даже из одного и того же места.

Каким бы повсеместным ни был HTTP, не исключено, что вы найдете среды, в которых HTTP (S) не разрешен, а другие протоколы разрешены.

Определите, что вы подразумеваете под базовыми интернет-службами, такими как imap, imaps, dns, smtp, https ...

egrep '(your|list|items|here)' /etc/services | awk '{print $2}'

Эти порты.

Невозможно ничего сказать о «каждом хосте, подключенном к Интернету», хотя я предполагаю, что подавляющее большинство потребителей все это открыты, но корпоративные пользователи могут быть перетасованы за прокси, полностью отключены от брандмауэра и т. Д. То же самое касается серверов .