常に開いている送信ポート
ファイアウォールで基本的にインターネットの使用が停止されるため、ファイアウォールで送信をブロックできないポートにはどのようなものがありますか?ポート53 udp/tcp-dns、これをブロックすると、ユーザーはドメインにアクセスできなくなりますポート80 tcp-httpポート443 tcp-httpsこれらはすべてすべてであり、これらのポートは接続されているすべてのホストで常にアクセス可能ですインターネット?
送信ファイアウォールルールでは、フルアクセスのために開く必要のあるポートはありません。
どうして?リクエストをプロキシすることで、より細かく制御できることを除いて、同じことを実現できるからです。
最も一般的な3つ:
- HTTPプロキシ(ポート80と443を閉じることができる)
- 内部DNSサーバー(外部へのプロキシ要求)
- 内部メールサーバー(受信メールと送信メールを世界中に中継します)
次に、ファイアウォールを設定して、これらのサービスのみを実行しているマシンに関連付けられているIPからの接続を許可します。
基本的に、それは本当の正解がない主観的な質問です。
うわー、これはやや広範で複雑な答えを持つ質問です。
ホストは通常、「直接」インターネットに接続されていません。彼らは通常、何らかのファイアウォール\ルーターの後ろに座っています。
ホストに別のホストへのアクティブな接続がない限り、送信ポートはホスト上で開かれません。
ホストは、ポート80、ポート443などからは接続しません。ポート80、ポート443などに接続します。
参照したポートは、宛先ホストの受信ポートです。送信元ホストの送信ポートは、一時的なポート範囲から選択されたランダムなポートです。
技術的には、ファイアウォールの送信ポートを開く必要はありません。ネットワークをインターネットから分離したい場合は、すべての送信トラフィックをブロックします。
ファイアウォールには通常、送信トラフィックに対して「ANY ANY」ルールと呼ばれるルールがあります。つまり、ファイアウォール(ローカルLAN)の内部インターフェースに着信する送信トラフィックは制限されず、戻りトラフィックも制限されません。
Webサーバーはポート80で着信接続をリッスンします。DNSサーバーはポート53で着信接続をリッスンします。これらは着信ポートであり、発信ポートではありません。
ポートは完全に開いたり閉じたりする必要がないことに注意してください。ファイアウォールは、標準のDNS関連ポートがローカルDNSサーバーのみを通過することを許可する場合や、透過プロキシが接続をキャプチャして、プロトコルが正しい場合にのみ最終宛先に転送する場合があります(これにより、たとえば、ポートの使用が停止する可能性があります)通常のHTTPトラフィックをブロックせずに発信P2P接続の場合は80-それ自体では停止しませんが、HTTP-> P2Pプロキシの使用を試みます)。
ポートが開かれることを保証することはできません。また、ポートが開いている場合は、同じ場所からでもすべての通信試行に対して開かれていない可能性があります。
HTTPと同じようにユビキタスですが、HTTP(S)が許可されていないが他のプロトコルが許可されている環境を見つけることは完全に不可能ではありません。
Imap、imaps、dns、smtp、httpsなどの基本的なインターネットサービスの意味を定義します。
egrep '(your|list|items|here)' /etc/services | awk '{print $2}'
それらのポート。
「インターネットに接続されたすべてのホスト」について何も言うことは不可能ですが、大多数の消費者がこれらすべてを開いていると思いますが、企業ユーザーはプロキシの背後でシャッフルされたり、完全にファイアウォールで遮断されたりする可能性があります。サーバーについても同様です。