Я видел много ресурсов, объясняющих как настроить брандмауэр сервера, чтобы разрешить входящий и исходящий трафик на стандартные порты HTTP (80
и 443
), но я не могу понять Зачем Мне понадобится любой из них. Мне нужно разблокировать обе чтобы "обычный" веб-сайт работал? Чтобы загрузка файлов работала? Есть ли ситуации, когда было бы целесообразно разблокировать один и оставить заблокированным другой?
Извините, если это основной вопрос, но я нигде не смог найти его объяснения (к тому же я не являюсь носителем английского языка). Я знаю, что на "обычном" веб-сайте клиент всегда является тем, кто инициирует запрос, поэтому я предполагаю, что веб-сервер должен принимать входящий трафик на этих портах, и мой здравый смысл подсказывает мне, что серверу разрешено отправлять ответ без разблокировки чего-либо другого (иначе не было бы смысла иметь два типа правил). Это правильно?
Но что такое исходящий веб-трафик (сервисный) и для чего он нужен? AFAIK, если сервер хотел инициировать соединение с другой машиной, конкретный порт, который имеет значение, - это тот, который находится на другом конце (т.е. порт назначения было бы 80
), на его конце можно было использовать любой свободный порт ( исходный порт будет случайным). Я могу открывать HTTP-запросы со своего сервера (используя wget
например), ничего не разблокируя. Поэтому я предполагаю, что мои концепции «входящего» и «исходящего» в чем-то неверны.
«Входящий» и «исходящий» - с точки зрения рассматриваемой машины.
«Входящие» относятся к пакетам, которые исходят из другого места и достигают машины, в то время как «исходящие» относятся к пакетам, которые исходят на машину и прибывают в другое место.
Если вы ссылаетесь на свой веб-сервер, он в основном принимает входящие подключения к своей веб-службе и только изредка (а может быть, никогда) не устанавливает исходящие подключения.
Если вы обратитесь к своему веб-клиенту, он в основном устанавливает исходящие соединения с другими службами и только изредка (а может быть, никогда) принимает входящие соединения.
Теперь ясно, как грязь?
В вашем случае вам нужно только разрешить входящие запросы на порт 80.
Когда соединение установлено, брандмауэр автоматически пропускает пакеты обратно на порт клиента. Для этого не нужно создавать правила, потому что брандмауэр знает об этом.
Без какого-либо контекста того, что означает конкретный текст, который вы читаете, когда они относятся к «исходящему трафику веб-службы», я выберу самый простой подход в своем ответе:
У вас есть брандмауэр на входе / выходе вашей сети.
Брандмауэр находится в полностью заблокированном состоянии и НЕ пропускает ни входящего, ни исходящего трафика.
Чтобы ваши внутренние клиенты могли просматривать внешние веб-сайты, вам необходимо настроить правило «исходящей веб-службы», которое позволяет им подключаться к указанным внешним веб-сайтам.
Проще говоря, правило будет выглядеть примерно так:
С ЛЮБОГО внутреннего хоста на ЛЮБОЙ внешний хост, где пункт назначения = TCP-порт 80, затем РАЗРЕШЕН.