Frage Was bedeutet "ankommender" und "ausgehender" Verkehr?


Ich habe viele Ressourcen erklärt Wie Einrichten einer Firewall eines Servers, um ein- und ausgehenden Datenverkehr auf HTTP-Standardports zu erlauben (80 und 443), aber ich kann nicht herausfinden Warum Ich würde beide brauchen. Muss ich entsperren? beide damit eine "normale" Website funktioniert? Für Datei-Uploads funktionieren? Gibt es Situationen, in denen es ratsam wäre, die Blockierung aufzuheben und die andere blockiert zu lassen?

Tut mir leid, wenn das eine grundlegende Frage ist, aber ich konnte es nirgends erklärt finden (auch ich bin kein englischer Muttersprachler). Ich weiß auf einer "normalen" Website, dass der Client immer derjenige ist, der eine Anfrage initiiert, also gehe ich davon aus, dass ein Webserver eingehenden Datenverkehr an diesen Ports akzeptieren muss und mein gesunder Menschenverstand sagt mir, dass der Server eine Antwort senden darf ohne etwas anderes freizugeben (sonst wäre es nicht sinnvoll, zwei Arten von Regeln zu haben). Ist das korrekt?

Aber was ist ein ausgehender Web- (Dienst-) Verkehr und was würde er nutzen? AFAIK, wenn der Server eine Verbindung mit einer anderen Maschine initiieren wollte, ist der spezifische Port, der zählt, derjenige am anderen Ende (d. H Zielhafen wäre 80), an dessen Ende jeder freie Port benutzt werden könnte (der Quellport wäre zufällig). Ich kann HTTP-Anfragen von meinem Server öffnen (mit wget zum Beispiel), ohne etwas freizugeben. Ich gehe also davon aus, dass meine Konzepte "Incoming" und "Outgoing" irgendwie falsch sind.


19
2017-10-27 22:08


Ursprung




Antworten:


"Incoming" und "Outgoing" sind aus der Perspektive der betreffenden Maschine.

"Eingehend" bezieht sich auf Pakete, die anderswo ankommen und an der Maschine ankommen, während "ausgehend" sich auf Pakete bezieht, die von der Maschine stammen und woanders ankommen.

Wenn Sie sich auf Ihren Webserver beziehen, akzeptiert er meist eingehende Verbindungen zu seinem Webdienst und nur gelegentlich (oder vielleicht nie) macht er ausgehende Verbindungen.

Wenn Sie sich auf Ihren Web-Client beziehen, werden hauptsächlich ausgehende Verbindungen zu anderen Diensten hergestellt, und nur gelegentlich (oder möglicherweise nie) werden eingehende Verbindungen akzeptiert.

Klar wie Schlamm jetzt?


22
2017-10-27 22:14



Ich würde hinzufügen, um eine Antwort an Ihren Client zu senden, müssen Sie ausgehenden Datenverkehr für etablierte Verbindungen zulassen. Wenn also ein Client eine Verbindung zu Ihrem Port 80 herstellt, kann Ihr Server mit jedem Port des Clients sprechen. - Hex
Ganz richtig. Obwohl jede Stateful Firewall dies automatisch behandeln sollte. - Michael Hampton♦
Also sollte mein Webserver eingehende Verbindungen an Ports entsperren 80 und 433, muss sich nicht um ausgehende Verbindungen an diesen Ports kümmern, sondern muss ausgehende Verbindungen im dynamischen / ephemeren Portbereich zulassen, ist das richtig? Und ich bin immer noch ein wenig verwirrt mit der ausgehenden Sache: Wenn ein Webclient versucht, sich mit einer Site zu verbinden, wäre der Zielport 80, aber der Quellport könnte jemand sein. Welcher Port würde eine Firewall sein in dieser Maschine Überlegen Sie, wann Sie sich entscheiden, zu blockieren / entsperren? - mgibsonbr
@mgibsonbr Jetzt drehst du dich in die Theorie. Wir bevorzugen praktische Fragen hier. :) - Michael Hampton♦
Angesichts der Tatsache, dass Sie nur begrenzte Kenntnisse über Firewalls und Datenverkehr haben, würde ich Ihnen empfehlen, ein Firewall-Builder-Skript zu verwenden. UFW ist ein guter Anfang. Die Webseite des Projekts ist help.ubuntu.com/community/UFW Sehen Sie es sich an und Sie erhalten ein grundlegendes Verständnis von Firewalls und Traffic Management. Wenn Sie noch Hilfe benötigen, werde ich versuchen, Ihre Frage genau zu klären. - Hex


In Ihrem Fall müssen Sie nur eingehende Anfragen an Port 80 senden.

Wenn eine Verbindung hergestellt wird, leitet die Firewall Pakete automatisch an den Port des Clients zurück. Sie müssen keine Regeln dafür erstellen, da die Firewall dies weiß.


5
2018-03-25 10:00



Dies beantwortet nicht seine ganze Frage, aber ja, wenn er eine Stateful Firewall verwendet, werden nur 80 und 443 benötigt. - 89c3b1b8-b1ae-11e6-b842-48d705


Ohne irgendeinen Zusammenhang darüber, was der bestimmte Text, den Sie lesen, bedeutet, wenn sie sich auf den "ausgehenden Webservice" -Verkehr beziehen, nehme ich den einfachsten Ansatz in meiner Antwort:

  1. Sie haben eine Firewall am Eingang / Ausgang Ihres Netzwerks.

  2. Die Firewall wird vollständig gesperrt und lässt keinen eingehenden oder ausgehenden Datenverkehr zu.

  3. Damit Ihre internen Clients externe Websites durchsuchen können, müssen Sie eine Regel für ausgehenden Web-Service konfigurieren, die es ihnen ermöglicht, eine Verbindung mit den externen Websites herzustellen.

Im einfachsten Fall würde die Regel so etwas lesen:

Beliebiger interner Host für jeden externen Host, bei dem das Ziel = TCP Port 80 dann ALLOW.


2
2017-10-27 22:29



Der Ausdruck "ausgehenden Web-Service-Verkehr" kam von diese. In meinem speziellen Fall versuche ich, die Firewall in einer Serverinstanz (IBM Cloud) einzurichten. Bei der Standardinstallation waren die meisten Dinge blockiert (ich konnte Apache ausführen, aber von außen nicht darauf zugreifen), und ich würde gerne die minimalen Dinge wissen, die ich aufheben sollte, um Seiten zu bedienen, Datei-Uploads (vom Browser des Clients) usw. Und ich konnte nicht sagen, ob dieses bestimmte Stück auf meinen Fall angewendet wurde oder nicht - da es nur erzählt, wie, nicht warum. - mgibsonbr