我的主机有防火墙,允许所有出站流量,不允许任何入站流量。如果我向某个网站发出 http 请求,网站服务器将响应我主机上的某个端口,例如 48406。
现在入站规则不允许48406端口,为什么响应的数据包却可以穿墙而过呢?
答案1
因为防火墙可以将其识别为已建立并允许的连接(出站端口 80)的一部分。这是防火墙的基本要求,否则您将根本无法通信,因为对于此类连接,源端口通常是随机的。
为什么防火墙允许 http 响应数据包到达我的主机的端口(例如 48406),尽管我的主机不允许任何入站连接?
我的主机有防火墙,允许所有出站流量,不允许任何入站流量。如果我向某个网站发出 http 请求,网站服务器将响应我主机上的某个端口,例如 48406。
现在入站规则不允许48406端口,为什么响应的数据包却可以穿墙而过呢?
因为防火墙可以将其识别为已建立并允许的连接(出站端口 80)的一部分。这是防火墙的基本要求,否则您将根本无法通信,因为对于此类连接,源端口通常是随机的。