porte in output sempre aperte

Quali sono le porte che non possono mai essere bloccate in output nei firewall, in quanto ciò impedirà l'uso di base di Internet? Alcuni che posso pensare sono: la port 53 udp / tcp-dns, bloccando questo impedirà agli utenti di accedere a qualsiasi port di dominio 80 tcp – http port 443 tcp – https Sono questi tutti e sono queste porte SEMPRE accessibili in output su each host collegato la networking?

  • windows server 2008 non è in grado di connettersi a Internet
  • Come posso passare tra le interfacce in PFsense?
  • csf wherecot e block IP
  • Come un router su Internet sa where submit un pacchetto in prossimità per ottenerlo verso il suo indirizzo IP di destinazione?
  • L'utilizzo dello stato RELATED in iptables è stato utilizzato correttamente?
  • iptables bloccano l'accesso a client IP e mantengono l'accesso LAN
  • 4 Solutions collect form web for “porte in output sempre aperte”

    Non ci sono porte che devono essere aperte per l'accesso completo nelle regole firewall in output.

    Perché? Perché proxy le richieste possiamo get la stessa cosa, tranne con più controllo.

    I tre più comuni:

    • Proxy HTTP (in modo da poter chiudere la port 80 e 443)
    • Server DNS interni (richieste proxy al mondo esterno)
    • Server di posta interna (relè posta in arrivo e in output nel mondo)

    Quindi è sufficiente impostare il firewall per consentire le connessioni dagli IP associati alle macchine che eseguono questi servizi SOLTANTO.

    Fondamentalmente, è una questione soggettiva senza una risposta giusta.

    Wow, questa è una domanda che ha una risposta un po 'ampia e complessa.

    1. Gli host non sono in genere connessi "direttamente" a Internet. Di solito si trovano dietro ad un firewall \ router di qualche tipo.

    2. Le porte in output non sono aperte su un host a less che l'host non abbia una connessione triggers ad un altro host.

    3. Gli host non si connettono da port 80, port 443, ecc. Collegano la port 80, la port 443, ecc.

    4. Le porte che hai fatto riferimento sono le porte in ingresso nell'host di destinazione. la port in output nell'host di origine è una port random, selezionata dall'intervallo di port effimera.

    5. Non è necessario tecnicamente aprire tutte le porte in output sul firewall. Se voleste isolare la tua networking da Internet, bloccerebbe tutto il traffico in output.

    6. I firewall hanno solitamente la cosiddetta regola "QUALSIASI" per il traffico in output, il che significa che qualsiasi traffico in output verso l'interface interna del firewall (LAN locale) non è limitato e il traffico di return non è limitato.

    7. I server Web ascoltano le connessioni INCOMING sulla port 80. I server DNS ascoltano le connessioni INCOMING sulla port 53 ecc. Queste sono le porte in ingresso, non le porte in output.

    Vale la pena notare che le porte non devono essere completamente aperte o chiuse. Ad esempio, un firewall potrebbe consentire alle porte connesse DNS standard solo per i server DNS locali o un proxy trasparente può acquisire le connessioni e inoltrare solo la destinazione finale se il protocollo è corretto (potrebbe per esempio impedirti di utilizzare la port 80 per le connessioni P2P in output senza bloccare il normale traffico HTTP – anche se non si stava cercando di utilizzare un proxy HTTP-> P2P).

    Non è ansible garantire che una port sia aperta o se lo trovate aperta in alcuni casi potrebbe non essere aperta a tutti i tentativi di comunicazione anche dalla stessa posizione.

    Ubiquitario come HTTP, non è assolutamente imansible trovare ambienti in cui HTTP (S) non è consentito, ma sono altri protocolli.

    Definire ciò che intendi con i servizi di base di Internet, ad esempio imap, imaps, dns, smtp, https …

    egrep '(your|list|items|here)' /etc/services | awk '{print $2}' 

    Quei porti.

    Non è ansible dire niente di "each host collegato a Internet", anche se immagino che la maggioranza dei consumatori abbia tutti questi utenti aperti, ma gli utenti aziendali potrebbero essere mescolati dietro un proxy, completamente disabilitati da firewall, ecc. Stessa cosa per i server .

    Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.