Che cosa significa traffico "in entrata" e "in uscita"?

20

Ho visto molte risorse che spiegano come impostare il firewall di un server per consentire il traffico in entrata e in uscita su porte standard HTTP ( 80e 443), ma non riesco a capire perché avrei bisogno di una di esse. Devo sbloccare entrambi per far funzionare un sito Web "normale"? Perché i caricamenti di file funzionino? Ci sono situazioni in cui sarebbe consigliabile sbloccare uno e lasciare l'altro bloccato?

Scusa se questa è una domanda di base, ma non sono riuscito a trovarla spiegata da nessuna parte (anche io non sono un madrelingua inglese). So che in un sito Web "normale" il client è sempre colui che avvia una richiesta, quindi presumo che un server Web debba accettare il traffico in entrata su tali porte e il mio buon senso mi dice che il server è autorizzato a inviare una risposta senza sbloccare nient'altro (altrimenti non avrebbe senso avere due tipi di regole). È corretto?

Ma cos'è un traffico web (di servizio) in uscita e quale sarebbe il suo utilizzo? AFAIK se il server volesse avviare una connessione con un'altra macchina, la porta specifica che conta è quella nell'altra estremità (ovvero la porta di destinazione sarebbe 80), alla sua estremità si potrebbe usare qualsiasi porta libera (la porta di origine sarebbe casuale ). Posso aprire richieste HTTP dal mio server (usando wgetad esempio) senza sbloccare nulla. Quindi presumo che i miei concetti di "in arrivo" e "in uscita" siano in qualche modo sbagliati.

networking  firewall 
mgibsonbr
fonte

Risposte:

22

"In arrivo" e "in uscita" sono dal punto di vista della macchina in questione.

"In arrivo" si riferisce a pacchetti che hanno origine altrove e arrivano alla macchina, mentre "in uscita" si riferisce a pacchetti che hanno origine nella macchina e arrivano altrove.

Se fai riferimento al tuo server Web, accetta principalmente connessioni in entrata al suo servizio Web e solo occasionalmente (o forse mai) effettua connessioni in uscita.

Se fai riferimento al tuo client Web, effettua principalmente connessioni in uscita verso altri servizi e solo occasionalmente (o forse mai) accetta connessioni in entrata.

Cancella come fango adesso?

Michael Hampton
fonte
3
Aggiungerei Tha Per inviare una risposta al tuo client devi consentire il traffico in uscita per le connessioni stabilite. Pertanto, ogni volta che un client stabilisce una connessione alla porta 80, il server può rispondere a qualsiasi porta del client.
Hex,
1
Abbastanza corretto Sebbene qualsiasi firewall con stato dovrebbe gestirlo automaticamente.
Michael Hampton
1
Quindi, il mio server Web dovrebbe sbloccare le connessioni in entrata sulle porte 80e 433, non è necessario preoccuparsi delle connessioni in uscita su tali porte, ma deve consentire la connessione in uscita nell'intervallo di porte dinamico / effimero, giusto? E sono ancora un po 'confuso con la cosa in uscita: se un client Web tenta di connettersi a un sito, la porta di destinazione sarebbe 80, ma la porta di origine potrebbe essere chiunque. Quale porta dovrebbe considerare un firewall in quella macchina quando decide di bloccare / sbloccare?
mgibsonbr,
@mgibsonbr Ora stai andando al teorico. Preferiamo domande pratiche qui. :)
Michael Hampton
1
Considerando che hai una conoscenza limitata dei firewall e del traffico, ti consiglio di utilizzare uno script per la creazione di firewall. UFW è un buon inizio. La pagina web del progetto è help.ubuntu.com/community/UFW , dai un'occhiata e otterrai una conoscenza di base dei firewall e della gestione del traffico. Se hai ancora bisogno di aiuto, proverò a fornire un chiarimento dettagliato alla tua domanda.
Hex,
6

Nel tuo caso devi solo lasciare che le richieste in arrivo alla porta 80.

Quando viene stabilita una connessione, il firewall rilascerà automaticamente i pacchetti alla porta del client. Non è necessario creare regole per questo perché il firewall lo sa.

Humpty
fonte
1
Questo non risponde alla sua intera domanda, ma sì, se sta usando un firewall stateful, sono necessari solo 80 e 443.
89c3b1b8-b1ae-11e6-b842-48d705
3

Senza alcun contesto sul significato del particolare testo che leggi quando si riferiscono al traffico del "servizio web in uscita", adotterò l'approccio più semplice nella mia risposta:

  1. Hai un firewall all'ingresso / uscita della tua rete.

  2. Il firewall è completamente bloccato e NON consente il traffico in entrata o in uscita.

  3. Per consentire ai client interni di esplorare siti Web esterni, è necessario configurare una regola di "servizio Web in uscita" che consenta loro di connettersi a tali siti Web esterni.

In parole povere la regola legge qualcosa del genere:

QUALSIASI host interno a QUALSIASI host esterno in cui la destinazione = Porta TCP 80 quindi CONSENTI.

joeqwerty
fonte
Da ciò deriva l'espressione "traffico di servizi Web in uscita" . Nel mio caso particolare, sto cercando di impostare il firewall in un'istanza del server (cloud IBM). L'installazione predefinita è arrivata con la maggior parte delle cose bloccate (potrei eseguire Apache ma non accedervi dall'esterno) e mi piacerebbe conoscere le cose fondamentali che dovrei sbloccare per poter servire le pagine, ricevere i caricamenti di file (dal browser del client) , ecc. E non saprei dire se quel particolare pezzo si applica al mio caso o meno, dal momento che dice solo come, non perché.
mgibsonbr,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.