Có nghĩa là lưu lượng truy cập vào đến của Cameron và trên mạng có nghĩa là gì?

20

Tôi đã thấy nhiều tài nguyên giải thích cách thiết lập tường lửa của máy chủ để cho phép lưu lượng đến và đi trên các cổng tiêu chuẩn HTTP ( 80443), nhưng tôi không thể hiểu tại sao tôi lại cần một trong hai. Tôi có cần bỏ chặn cả hai để một trang web "thông thường" hoạt động không? Để tải lên tập tin để làm việc? Có những tình huống nên bỏ chặn cái này và bỏ cái kia bị chặn không?

Xin lỗi nếu đó là một câu hỏi cơ bản, nhưng tôi không thể tìm thấy nó được giải thích ở bất cứ đâu (tôi cũng không phải là người nói tiếng Anh bản địa). Tôi biết trong một trang web "thông thường", khách hàng luôn là người thực hiện yêu cầu, vì vậy tôi cho rằng một máy chủ web phải chấp nhận lưu lượng truy cập đến trên các cổng đó và ý thức chung của tôi cho tôi biết rằng máy chủ được phép gửi phản hồi mà không bỏ chặn bất cứ điều gì khác (nếu không sẽ có hai loại quy tắc). Đúng không?

Nhưng lưu lượng truy cập web (dịch vụ) là gì và công dụng của nó là gì? AFAIK nếu máy chủ muốn bắt đầu một kết nối với máy khác, các cổng cụ thể mà vấn đề là một trong những đầu bên kia (tức là cổng đích sẽ 80), kết thúc của nó bất kỳ cổng miễn phí có thể được sử dụng (các cổng nguồn sẽ là ngẫu nhiên ). Tôi có thể mở các yêu cầu HTTP từ máy chủ của mình ( wgetví dụ sử dụng ) mà không bỏ chặn bất cứ điều gì. Vì vậy, tôi cho rằng các khái niệm "đến" và "đi" của tôi bằng cách nào đó là sai.

networking  firewall 
mgibsonbr
nguồn

Câu trả lời:

22

"Đến" và "đi" là từ quan điểm của máy đang được đề cập.

"Đến" chỉ các gói có nguồn gốc ở nơi khác và đến máy, trong khi "gửi đi" chỉ các gói có nguồn gốc từ máy và đến nơi khác.

Nếu bạn tham khảo máy chủ web của mình, nó chủ yếu chấp nhận các kết nối đến dịch vụ web của nó và chỉ thỉnh thoảng (hoặc có thể không bao giờ) thực hiện kết nối đi.

Nếu bạn tham khảo ứng dụng khách web của mình, nó chủ yếu tạo các kết nối gửi đến các dịch vụ khác và chỉ thỉnh thoảng (hoặc có thể không bao giờ) chấp nhận các kết nối đến.

Rõ ràng như bùn bây giờ?

Michael Hampton
nguồn
3
Tôi sẽ thêm tha Để gửi phản hồi cho khách hàng của bạn, bạn cần cho phép lưu lượng đi cho các kết nối được thiết lập. Vì vậy, bất cứ khi nào khách hàng thiết lập kết nối tới cổng 80, máy chủ của bạn có thể nói chuyện lại với bất kỳ cổng nào của máy khách.
Hex
1
Hoàn toàn chính xác. Mặc dù bất kỳ tường lửa nhà nước nên xử lý này tự động.
Michael Hampton
1
Vì vậy, máy chủ web của tôi nên bỏ chặn các kết nối đến trên các cổng 80433, không cần phải lo lắng về các kết nối đi trên các cổng đó, nhưng cần phải cho phép kết nối đi trong phạm vi cổng động / phù du, đúng không? Và tôi vẫn còn một chút bối rối với điều bên ngoài: nếu một máy khách web cố gắng kết nối với một trang web, cổng đích sẽ là 80, nhưng cổng nguồn có thể là bất cứ ai. Cổng nào trong tường lửa trong máy đó sẽ xem xét khi quyết định chặn / bỏ chặn?
mgibsonbr
@mgibsonbr Bây giờ bạn đang đi sâu vào lý thuyết. Chúng tôi thích các câu hỏi thực tế ở đây. :)
Michael Hampton
1
Xem xét rằng bạn có kiến ​​thức hạn chế về tường lửa và lưu lượng truy cập, tôi sẽ khuyên bạn nên sử dụng tập lệnh xây dựng tường lửa. UFW là một khởi đầu tốt. Trang web của dự án là help.ubfox.com/community/UFW , hãy xem và bạn sẽ có được sự hiểu biết cơ bản về tường lửa và quản lý lưu lượng. Nếu bạn vẫn cần trợ giúp, tôi sẽ cố gắng làm rõ chi tiết cho câu hỏi của bạn.
Hex
6

Trong trường hợp của bạn, bạn chỉ phải để các yêu cầu đến cổng 80.

Khi kết nối được thiết lập, tường lửa sẽ tự động cho phép các gói trở lại cổng của máy khách. Bạn không cần phải tạo quy tắc cho điều đó vì tường lửa biết.


nguồn
1
Điều này không trả lời toàn bộ câu hỏi của anh ta, nhưng đúng, nếu anh ta sử dụng tường lửa trạng thái, chỉ cần 80 và 443.
89c3b1b8-b1ae-11e6-b842-48d705
3

Không có bất kỳ bối cảnh nào về văn bản cụ thể mà bạn đọc có nghĩa là gì khi chúng đề cập đến lưu lượng truy cập "dịch vụ web đi", tôi sẽ thực hiện cách tiếp cận đơn giản nhất trong câu trả lời của mình:

  1. Bạn có một tường lửa ở đầu vào / ra của mạng.

  2. Tường lửa ở trạng thái khóa hoàn toàn và cho phép KHÔNG lưu lượng truy cập vào hoặc ra.

  3. Để khách hàng nội bộ của bạn duyệt các trang web bên ngoài, bạn cần định cấu hình quy tắc "dịch vụ web bên ngoài" cho phép họ kết nối với các trang web bên ngoài đã nói.

Trong các thuật ngữ đơn giản nhất, quy tắc sẽ đọc một cái gì đó như thế này:

BẤT K host máy chủ nội bộ nào BẤT K host máy chủ bên ngoài nào trong đó đích = TCP Cổng 80 thì cho phép.

joeqwerty
nguồn
Cụm từ "lưu lượng dịch vụ web đi" xuất phát từ điều này . Trong trường hợp cụ thể của tôi, tôi đang cố gắng thiết lập tường lửa trong một cá thể máy chủ (đám mây của IBM). Cài đặt mặc định đi kèm với hầu hết mọi thứ bị chặn (tôi có thể chạy Apache nhưng không truy cập được từ bên ngoài) và tôi muốn biết những thứ bắt chước mà tôi nên bỏ chặn để có thể phục vụ các trang, nhận tệp tải lên (từ trình duyệt của khách hàng) , v.v. Và tôi không thể biết liệu mảnh cụ thể đó có áp dụng cho trường hợp của tôi hay không - vì nó chỉ cho biết làm thế nào chứ không phải tại sao.
mgibsonbr
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.