防火墙中哪些端口永远不能被阻止出站,因为这样做会阻止基本的互联网使用?我能想到的一些端口是:端口 53 udp/tcp - dns,阻止它将阻止用户访问任何域端口 80 tcp - http 端口 443 tcp - https 这些都是吗?这些端口在连接到互联网的每个主机上是否始终可以出站访问?
答案1
在您的出站防火墙规则中,没有需要打开即可获得完全访问的端口。
为什么?因为通过代理请求,我们可以实现相同的目的,而且可以进行更多的控制。
最常见的有三种:
- HTTP 代理(这样您就可以关闭端口 80 和 443)
- 内部 DNS 服务器(代理向外界发出的请求)
- 内部邮件服务器(向世界各地中继接收和发送邮件)
然后,您只需设置防火墙以仅允许与运行这些服务的机器相关联的 IP 的连接。
基本上,这是一个主观问题,没有真正的正确答案。
答案2
哇,这个问题的答案有点广泛和复杂。
主机通常不“直接”连接到互联网。它们通常位于某种防火墙\路由器后面。
除非主机与另一台主机有活动连接,否则主机上的出站端口不会打开。
主机不会从端口 80、端口 443 等进行连接,而是连接到端口 80、端口 443 等。
您引用的端口是目标主机上的入站端口。源主机上的出站端口是从临时端口范围中选择的随机端口。
从技术上讲,您不需要在防火墙上打开任何出站端口。如果您想将网络与互联网隔离,您可以阻止所有出站流量。
防火墙通常对出站流量有所谓的“ANY ANY”规则,这意味着进入防火墙内部接口(本地 LAN)的任何出站流量均不受限制,返回流量也不受限制。
Web 服务器在端口 80 上监听传入连接。DNS 服务器在端口 53 上监听传入连接等等。这些是入站端口,而不是出站端口。
答案3
值得注意的是,端口不必完全打开或关闭。例如,防火墙可能只允许标准 DNS 相关端口通过本地 DNS 服务器,或者透明代理可以捕获连接,并且仅在协议正确的情况下将其转发到最终目的地(例如,这可以阻止您使用端口 80 进行传出 P2P 连接,而不会阻止正常的 HTTP 流量 - 尽管它本身不会阻止您尝试使用 HTTP->P2P 代理)。
您无法保证任何端口都会开放,或者如果您发现它在某些情况下是开放的,那么即使来自同一位置,它也可能并不对所有通信尝试开放。
HTTP 无处不在,但也有可能出现不允许使用 HTTP(S) 但允许使用其他协议的环境。
答案4
定义基本互联网服务的含义,例如 imap、imaps、dns、smtp、https……
egrep '(your|list|items|here)' /etc/services | awk '{print $2}'
那些端口。
虽然我可以想象绝大多数消费者都会打开所有这些,但不可能说出“每个连接到互联网的主机”的任何内容,但企业用户可能会被转移到代理后面,完全被防火墙关闭等。服务器也是如此。