“Gelen” ve “giden” trafik ne anlama geliyor?

20

HTTP standart bağlantı noktalarında ( ve ) gelen ve giden trafiğe izin vermek için bir sunucunun güvenlik duvarını nasıl ayarlayacağımı açıklayan birçok kaynak gördüm , ancak neden bunlardan birine ihtiyacım olacağını anlayamıyorum . "Normal" bir web sitesinin çalışması için her ikisinin de engellemesini kaldırmam gerekir mi? Dosya yüklemelerinin çalışması için? Birinin engelini kaldırmanın ve diğerini bloke etmenin tavsiye edileceği durumlar var mı?80443

Üzgünüm, bu temel bir soru, ama herhangi bir yerde açıkladı bulamadı (Ayrıca ben anadili İngilizce değilim). Ben bir "düzenli" web sitesinde müşteri her zaman bir istek başlatan olduğunu biliyorum, bu yüzden bir web sunucusunun bu bağlantı noktalarından gelen trafiği kabul etmesi gerektiğini varsayıyorum ve sağduyu bana sunucunun bir yanıt göndermesine izin verildiğini söylüyor başka bir şeyin engelini kaldırmadan (aksi takdirde iki tür kural olması mantıklı olmaz). Bu doğru mu?

Ancak giden web (hizmet) trafiği nedir ve bunun kullanımı ne olur? Sunucu başka bir makine ile bağlantı başlatmak isterse AFAIK, önemli olan bağlantı noktası diğer uçtaki bağlantı noktasıdır (yani hedef bağlantı noktası olacaktır 80), sonunda herhangi bir boş bağlantı noktası kullanılabilir ( kaynak bağlantı noktası rasgele olacaktır) ). HTTP isteklerini wgetherhangi bir engellemeyi kaldırmadan sunucumdan ( örneğin kullanarak ) açabilirim. Bu yüzden "gelen" ve "giden" kavramlarımın bir şekilde yanlış olduğunu varsayıyorum.

networking  firewall 
mgibsonbr
kaynak

Yanıtlar:

22

"Gelen" ve "giden" söz konusu makinenin bakış açısından.

"Gelen", başka bir yerden gelen ve makineye gelen paketleri belirtirken, "giden", makineden çıkan ve başka bir yere gelen paketleri ifade eder.

Web sunucunuza başvurursanız, çoğunlukla web hizmetine gelen bağlantıları kabul eder ve yalnızca ara sıra (veya belki de asla) giden bağlantılar kurar.

Web istemcinize başvurursanız, çoğunlukla diğer hizmetlere giden bağlantılar kurar ve yalnızca ara sıra (veya belki de asla) gelen bağlantıları kabul etmez.

Şimdi çamur mu temiz?

Michael Hampton
kaynak
3
İstemcinize bir yanıt göndermek için kurulan bağlantılar için giden trafiğe izin vermeniz gerekir. Dolayısıyla, bir istemci 80 numaralı bağlantı noktanızla bağlantı kurduğunda, sunucunuz istemcinin herhangi bir bağlantı noktasıyla konuşabilir.
Hex
1
Oldukça doğru. Her ne kadar durum bilgisi olan bir güvenlik duvarı bunu otomatik olarak ele almalıdır.
Michael Hampton
1
Yani, benim web sunucusu bağlantı noktalarında gelen bağlantıları engelini gerektiğini 80ve 433bu bağlantı noktalarında giden bağlantıları hakkında endişe gerekmez, ancak gerek dinamik / geçici bağlantı noktası aralığındaki giden bağlantıya izin verecek şekilde, doğru mu? Ve hala giden şeyle biraz kafam karıştı: Bir web istemcisi bir siteye bağlanmaya çalışırsa, hedef bağlantı noktası olurdu 80, ancak kaynak bağlantı noktası herkes olabilir. Engellemeye / engellemeyi kaldırmaya karar verirken o makinedeki güvenlik duvarı hangi bağlantı noktasını dikkate alır?
mgibsonbr
@mgibsonbr Şimdi teorik olanı inceliyorsunuz. Burada pratik soruları tercih ediyoruz. :)
Michael Hampton
1
Güvenlik duvarları ve trafik hakkında sınırlı bilgiye sahip olduğunuzu göz önünde bulundurarak, bir güvenlik duvarı oluşturucu komut dosyası kullanmanızı öneririm. UFW iyi bir başlangıç. Projenin web sayfası help.ubuntu.com/community/UFW , bir göz atın ve güvenlik duvarları ve trafik yönetimi hakkında temel bir anlayış kazanacaksınız. Hâlâ yardıma ihtiyacınız varsa, sorunuza ayrıntılı bir açıklama yapmaya çalışacağım.
Hex
6

Sizin durumunuzda sadece 80 numaralı bağlantı noktasına gelen isteklere izin vermelisiniz.

Bir bağlantı kurulduğunda, güvenlik duvarı paketleri otomatik olarak istemcinin bağlantı noktasına geri gönderir. Bunun için kurallar oluşturmanıza gerek yoktur çünkü güvenlik duvarı bilir.

kırılınca
kaynak
1
Bu onun tüm sorusuna cevap vermiyor, ancak evet, durum bilgisi olan bir güvenlik duvarı kullanıyorsa, sadece 80 ve 443'e ihtiyaç var.
89c3b1b8-b1ae-11e6-b842-48d705
3

"Giden web hizmeti" trafiğine atıfta bulunduğunuzda okuduğunuz belirli metnin ne anlama geldiği konusunda herhangi bir bağlam olmadan, cevabımdaki en basit yaklaşımı alacağım:

  1. Ağınızın girişinde / çıkışında bir güvenlik duvarınız var.

  2. Güvenlik duvarı tamamen kilitli durumdadır ve gelen veya giden trafiğe izin vermez.

  3. Dahili istemcilerinizin harici web sitelerine göz atabilmeleri için, söz konusu harici web sitelerine bağlanmasına olanak tanıyan bir "giden web hizmeti" kuralı yapılandırmanız gerekir.

En basit ifadeyle, kural şöyle bir şey okur:

HERHANGİ BİR ana sunucu HERHANGİ bir harici ana bilgisayara nerede = TCP Port 80 sonra İZİN VER.

joeqwerty
kaynak
İfadesi "giden web hizmeti trafik" geldi bu . Benim özel durumumda, bir sunucu örneğinde (IBM bulut) güvenlik duvarını kurmaya çalışıyorum. Varsayılan yükleme, çoğu şeyi engelledi (Apache'yi çalıştırabilirim, ancak dışarıdan erişemedim) ve sayfaları sunabilmek, dosya yüklemeleri almak için istemcinin tarayıcısından engellemem gereken miminal şeyleri bilmek istiyorum. Ve o parçanın davam için geçerli olup olmadığını söyleyemedim - çünkü sadece nasıl olduğunu değil nedenini anlatıyor.
mgibsonbr
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.