尝试从一个接口到另一个接口设置一些高级过滤/防火墙策略,但我一直阻止用户使用各种服务/奇怪的问题(如证书错误等)。
配置如下:如果你访问 1433 端口,你就会被添加到阻止列表中
因此,我发现谷歌的 DNS 服务器正在恢复并访问端口 1433!
有人能解释一下他们为什么要这样做吗?(我将运行 pcap 并查看这是否是合法的 DNS 响应或类似的东西……但我无法想象它会在如此低的端口号上返回)
[日志文件条目] https://i.stack.imgur.com/Amp6U.png
答案1
“他们”没有这样做。您的客户端从其源端口 1433 发起与 Google DNS 服务器的连接。Google 自然会响应此端口。这是预期的行为。
源 IP:您的客户端 IP 地址
源端口:1433
目标 IP:8.8.8.8
目标端口:53
源 IP/端口(您)> 目标 IP/端口(Google)
目标 IP/端口 (Google) > 源 IP/端口 (您)
为什么您的客户端选择端口 1433 作为源端口?因为可以自由选择任何未使用的端口作为源端口。
通常不会阻止响应内部发起的连接(防火墙后面)的流量,因为防火墙会将其视为对内部发起的流量的响应。您的防火墙应该阻止外部发起的到端口 1433 的流量,这意味着外部主机试图在防火墙后面的设备上发起到端口 1433 的连接。