Webサーバーの標準ポート
私は、外の世界にアクセスできる80/443と22のみを必要とするサーバーにHetznerを使用しています。 Hetznerファイアウォールテンプレートを使用すると、次のようにも追加されます。
- プロトコルicmp、これはping用だと思います
- ポート32768〜65535は、「ack」のtcpフラグで開いています。
AWSは、pingを含むすべてを閉鎖しているようです。
- ポート32768〜65535を開く理由はありますか?「ack」とはどういう意味ですか?
- プロトコルicmpを禁止する必要がありますか?
Nginxサーバーはhttpsを実行しており、80は443にリダイレクトされます。トラフィックが80に入る場合に備えて、80を開いたままにして443にリダイレクトするのがベストプラクティスですか、それとも80も閉じる必要がありますか?
ポート80:Nginxがポート443にリダイレクトできるように、ポート80を開く必要があります。ポート80をブロックすると、http経由で接続しようとするクライアントはタイムアウトになります。
ウェブサイトがあります ICMPをブロックすべきではないと主張することに専念しています。
[〜#〜] ack [〜#〜] は、3ウェイハンドシェイクの最後のステップですTCPは接続の確立に使用します。ポート範囲32768-65535は エフェメラルポート 用です。そのため、ファイアウォールルールに触れないでください。
AWSセキュリティグループルールはインバウンドまたはアウトバウンドトラフィックに設定されているため、これらのルールはAWSセキュリティグループルールとは異なって見えます。