Tüm gelen bağlantıları engellerseniz, yine de interneti nasıl kullanabilirsiniz?

22

ISS'niz veya güvenlik duvarınız gelen tüm bağlantıları engelliyorsa, web sunucuları sizi tarayıcınıza nasıl hala veri gönderebilir? İsteği gönderirsiniz (giden) ve sunucu veri gönderir (gelen). Gelenlerin tümünü engellerseniz, web sunucusu nasıl yanıt verebilir?

UDP kullandığı video akışı ve çok oyunculu oyunlara ne dersiniz? UDP bağlantısızdır, bu nedenle kurulacak bir bağlantı yoktur, bu nedenle güvenlik duvarı veya İSS bunu nasıl ele alacaktır?

http  internet 
Kunal Chopra
kaynak
2
Tüm gelen telefon aramaları engelle / Tüm gelen telefon aramaları sesli postaya yönlendirilsin mi? Birini aramanı engellemez.
WernerCD

Yanıtlar:

43

"Gelen blok", gelen yeni bağlantıların engellendiği, ancak kurulu trafiğe izin verildiği anlamına gelir . Dolayısıyla, giden yeni bağlantılara izin verilirse, o konuşmanın gelen yarısı tamam olur.

Güvenlik duvarı bunu bağlantı durumunu izleyerek yönetir (böyle bir güvenlik duvarına genellikle "durum bilgisi olan güvenlik duvarı" denir). Giden TCP SYN'sini görür ve buna izin verir. Gelen bir SYN / ACK'yı görür ve gördüğü giden SYN ile eşleştiğini doğrulayabilir ve buna izin verir, vb. Üç yönlü bir el sıkışmasına izin veriyorsa (örneğin, güvenlik duvarı kurallarına göre izin verilir) bu konuşmaya izin verir. Ve bu konuşmanın (FIN'ler veya RST) sona erdiğinde, bu bağlantıyı izin verilecek paketler listesinden çıkarır.

UDP benzer şekilde yapılır, ancak güvenlik duvarının UDP'nin bir bağlantısı veya oturumu olduğunu (UDP'nin olmadığı) taklit etmek için yeterince hatırlamasını içerir.

gowenfawr
kaynak
1
UDP için, gerçek bir bağlantı olmadığından, güvenlik duvarı genellikle giden UDP paketlerinin hedef IP'sini ve bağlantı noktasını izler ve kaynakla aynı IP ve bağlantı noktasına sahip bir paket varsa, bunun bir yanıt olduğunu varsayar ve izin verir içinde.
WhiteWinterWolf
17

@gowenfawr, yüksek düzeydeki resme sahip. Ancak, bağlantı izleme için "eşleştirme" nin nasıl yapıldığına dair bazı ayrıntılar ekleyeceğimi düşündüm, çünkü başlatılmamışlara sihir gibi gelebilir.

Her TCP bağlantısının her iki tarafının bir bağlantı noktası numarası vardır. Çoğu teknisyenin bildiği gibi, HTTP sunucuları bağlantı noktası 80'de çalışır. Tarayıcınız bir web sunucusuna bağlandığında, işletim sisteminden "yerel" bir bağlantı noktası numarası üretmesini ister. Bu bilgisayardan TCP bağlantısı (ve işletim sistemi bunu tüm etkin TCP bağlantılarını bildiği için yapabilir). Ardından, makinenizin ipinden (IP_YOURS) ve 29672 numaralı bağlantı noktasından web sunucusunun ipine (IP_WEBSERVER) ve 80 numaralı bağlantı noktasına bir ilk TCP kurulum paketi gönderilir. Bu noktada, durum bilgisi olan güvenlik duvarı "aha, IP_WEBSERVER bağlantı noktasından gelecek paketler IP_YOURS bağlantı noktası 29672'ye giden 80 yeni bağlantı değil, varolan bir bağlantıya yanıt veriyor ve bunlara izin verilmeli ". Durum bilgisi olan güvenlik duvarları bir tablo sağlar,

Atsby
kaynak
3
Bu çoğunlukla doğrudur, ancak birkaç küçük nokta olarak bağlantı noktası numaraları 65535'te dururlar (16 bit işaretsiz numaralardır) ve zaman aşımına ek olarak FIN veya RST bayrakları ayarlanmış paketler de bir TCP'nin sinyalini verebilir. bağlantı şimdi kapalı.
reirab
@reirab Hata! Evet, bağlantı noktası numarası başarısız. Wrt kapanması, elbette TCP bayraklarını incelemek mümkün olabilir, ancak olası paket kaybını ve yakın dizilerin yeniden iletimini hesaba katmak zorunda kalmam, çoğu güvenlik duvarının sadece en az kullanılan tablo girişini tutmak yerine yeniden kullanacağını varsayacak kadar karmaşıktır. doğru takip edin.
@atsby Her zaman yayınınızı düzenleyebilir ve bağlantı noktası numaralarını daha uygun bir şeyle değiştirebilirsiniz?
Bunların hepsi harika bilgiler. Sadece yukarıdaki yorumlarla tartışılan limanlara bir şey eklemek istedim. Bunlara 'geçici bağlantı noktaları' denir ve aralıkları her işletim sistemine özgü çekirdek tarafından tanımlanır. Linux'ta bunları "cat / proc / sys / net / ipv4 / ip_local_port_range" ile alabilirsiniz --- varsayılan aralık "32768 - 61000" dir
Arul Selvan
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.