Я видел много ресурсов, объясняющих, как настроить брандмауэр сервера, чтобы разрешить входящий и исходящий трафик через стандартные порты HTTP ( 80
и 443
), но я не могу понять, зачем мне нужен любой из них. Нужно ли разблокировать оба, чтобы «обычный» веб-сайт работал? Для загрузки файлов на работу? Существуют ли ситуации, когда было бы целесообразно разблокировать один и оставить другой заблокированным?
Извините, если это основной вопрос, но я не смог найти его объясненным где-либо (также я не являюсь носителем английского языка). Я знаю, что на «обычном» веб-сайте клиент всегда является тем, кто инициирует запрос, поэтому я предполагаю, что веб-сервер должен принимать входящий трафик через эти порты, и мой здравый смысл говорит мне, что серверу разрешено отправлять ответ без разблокировки чего-либо еще (иначе было бы бессмысленно иметь два типа правил). Это верно?
Но что такое исходящий веб (сервисный) трафик и как он будет использоваться? AFAIK , если сервер хочет установить соединение с другой машиной, конкретный порт , который имеет значения является один в другом конце (т.е. порт назначения будет 80
), на ее конце может быть использован любой свободный порт ( порт источника будет случайным ). Я могу открывать HTTP-запросы с моего сервера (используя, wget
например), не разблокируя ничего. Поэтому я предполагаю, что мои понятия «входящий» и «исходящий» как-то неверны.
источник
80
и433
не должен беспокоиться об исходящих соединениях на этих портах, но должен разрешать исходящие соединения в диапазоне динамических / эфемерных портов, правильно? И я все еще немного смущен исходящей вещью: если веб-клиент попытается подключиться к сайту, порт назначения будет80
, но порт источника может быть любым. Какой порт будет учитывать брандмауэр на этом компьютере при принятии решения о блокировке / разблокировке?В вашем случае вам нужно только разрешить входящие запросы на порт 80.
Когда соединение установлено, брандмауэр автоматически пропускает пакеты обратно на порт клиента. Вам не нужно создавать правила для этого, потому что брандмауэр знает.
источник
Без какого-либо контекста относительно того, что означает конкретный текст, который вы читаете, когда они ссылаются на трафик «исходящих веб-сервисов», я воспользуюсь самым простым подходом в своем ответе:
У вас есть брандмауэр на входе / выходе вашей сети.
Брандмауэр находится в полностью заблокированном состоянии и не допускает входящий или исходящий трафик.
Чтобы ваши внутренние клиенты могли просматривать внешние веб-сайты, вам необходимо настроить правило «исходящая веб-служба», которое позволяет им подключаться к указанным внешним веб-сайтам.
В простейших терминах правило будет выглядеть примерно так:
ЛЮБОЙ внутренний хост к ЛЮБОМ внешнему хосту, где назначение = TCP-порт 80, затем РАЗРЕШИТЬ.
источник