SSH 客户端是否使用临时端口？

Question

任何 TCP 客户端（包括 SSH 客户端）都将在“客户端”端使用临时端口。这是 TCP 套接字的默认行为，除非程序明确绑定到某个本地端口。

您可以亲自使用ss -tn/netstat -tn列出活动套接字（在客户端或服务器上），或使用数据包捕获工具（，，wireshark）查看实际的 TCP 数据包 - 及其端口和其他参数。termsharktcpdump -n

您的防火墙规则允许 SSH，因为它们只检查一个端口，而不是两个。在几乎所有情况下，如果您看到一个仅标记为“端口”的字段，它实际上意味着“目标端口”——很少（如果有的话）检查源端口是否有新连接，因此“端口 22”实际上意味着“任何→22”而不是“22→22”。

（这同样适用于“入站”和“出站”规则 - 例如“出站 TCP 端口 22”表示从服务器的临时端口发送的数据包到另一个主机的端口 22，因此它永远不会匹配您的服务器发送到入站连接的回复。）

通常你不需要明确允许出站数据包到临时端口，因为许多防火墙有状态的– 它们会跟踪活动 TCP 连接使用的源/目标端口，并自动允许看似属于“已建立”连接的数据包。它们还会对 UDP 执行相同操作（跟踪“最近”数据包使用的临时端口）。

（例如，对于使用 iptables 或 ufw 作为防火墙的 Linux 服务器，您可以使用查看其自己的状态表conntrack -L。）

总体而言，这意味着，例如，如果您正在查看 AWS 安全组中的“入站”和“出站”选项卡，则可以从整个连接的角度来思考，而不是单个数据包。允许“入站端口 22”将允许连接到你的服务器，同时允许“出站端口 22”将允许连接从您的服务器，并且在两种情况下，状态防火墙都会隐式地允许响应朝相反的方向进行。

Answer 1

任何 TCP 客户端（包括 SSH 客户端）都将在“客户端”端使用临时端口。这是 TCP 套接字的默认行为，除非程序明确绑定到某个本地端口。

您可以亲自使用ss -tn/netstat -tn列出活动套接字（在客户端或服务器上），或使用数据包捕获工具（，，wireshark）查看实际的 TCP 数据包 - 及其端口和其他参数。termsharktcpdump -n

您的防火墙规则允许 SSH，因为它们只检查一个端口，而不是两个。在几乎所有情况下，如果您看到一个仅标记为“端口”的字段，它实际上意味着“目标端口”——很少（如果有的话）检查源端口是否有新连接，因此“端口 22”实际上意味着“任何→22”而不是“22→22”。

（这同样适用于“入站”和“出站”规则 - 例如“出站 TCP 端口 22”表示从服务器的临时端口发送的数据包到另一个主机的端口 22，因此它永远不会匹配您的服务器发送到入站连接的回复。）

通常你不需要明确允许出站数据包到临时端口，因为许多防火墙有状态的– 它们会跟踪活动 TCP 连接使用的源/目标端口，并自动允许看似属于“已建立”连接的数据包。它们还会对 UDP 执行相同操作（跟踪“最近”数据包使用的临时端口）。

（例如，对于使用 iptables 或 ufw 作为防火墙的 Linux 服务器，您可以使用查看其自己的状态表conntrack -L。）

总体而言，这意味着，例如，如果您正在查看 AWS 安全组中的“入站”和“出站”选项卡，则可以从整个连接的角度来思考，而不是单个数据包。允许“入站端口 22”将允许连接到你的服务器，同时允许“出站端口 22”将允许连接从您的服务器，并且在两种情况下，状态防火墙都会隐式地允许响应朝相反的方向进行。

相关内容