我最近设置了联邦快递Linux 计算机上的防火墙,这样可以允许传出连接,拒绝传入连接,并记录被拒绝的连接。这在大多数情况下似乎都很好用,但我看到许多被拒绝的传入端口 443 的连接(许多 IP 与 Facebook 相关联)。
我可以向传入连接开放该端口,但首先我想问一下这些连接是什么。HTTPS 请求不应该由我发起并被视为出站连接而不是入站连接吗?在消费者防火墙上打开传入端口 443 是否很常见?
日志条目示例:
[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0
答案1
您看到的数据包是响应数据包:
PROTO=TCP SPT=443 DPT=58530
请注意,SPT(源端口)为 443。当您访问远程 https 站点时,您将发送带有 DPT(目标端口)443 的数据包,您从该站点收到的任何回复都将来自其 IP 和源端口 443。
到目前为止,看到这些数据包的最常见原因是您关闭与远程站点的会话后,防火墙会观察到这种情况并从其活动连接表中清除该会话。有时由于时间安排、远程端 TCP 实施不佳、重复数据包或负载平衡器发送相同的回复,您可能会在关闭序列完成后收到会话的额外数据包。
您的防火墙没有活动会话来匹配这些数据包,因此它们会被丢弃,并在您看到它们时进行记录。
您可以安全地忽略它们。不要调整防火墙以允许这些数据包,因为这会给您的安全带来不必要的漏洞。