it-swarm.com.de

Was bedeutet "eingehender" und "ausgehender" Verkehr?

Ich habe viele Ressourcen gesehen, die erklären, wie wie die Firewall eines Servers eingerichtet wird, um eingehenden und ausgehenden Datenverkehr auf HTTP-Standardports zuzulassen (80 und 443), aber ich kann nicht herausfinden warum Ich würde beide brauchen. Muss ich beide entsperren, damit eine "normale" Website funktioniert? Damit Datei-Uploads funktionieren? Gibt es Situationen, in denen es ratsam wäre, die eine zu entsperren und die andere blockiert zu lassen?

Es tut mir leid, wenn das eine grundlegende Frage ist, aber ich konnte sie nirgendwo erklären (auch ich bin kein englischer Muttersprachler). Ich weiß, dass auf einer "normalen" Website der Client immer derjenige ist, der eine Anfrage initiiert. Daher gehe ich davon aus, dass ein Webserver eingehenden Datenverkehr an diesen Ports akzeptieren muss, und mein gesunder Menschenverstand sagt mir, dass der Server eine Antwort senden darf ohne etwas anderes zu entsperren (sonst wäre es nicht sinnvoll, zwei Arten von Regeln zu haben). Ist das korrekt?

Aber was ist ein ausgehender WebDienst-) Verkehr und wozu würde er verwendet? AFAIK Wenn der Server eine Verbindung mit einem anderen Computer herstellen wollte, ist der spezifische Port der andere am anderen Ende (d. H. Der --- (Zielport wäre 80), an seinem Ende könnte jeder freie Port verwendet werden (der Quellport wäre zufällig). Ich kann HTTP-Anforderungen von meinem Server aus öffnen (z. B. mit wget), ohne etwas zu entsperren. Ich gehe also davon aus, dass meine Konzepte von "eingehend" und "ausgehend" irgendwie falsch sind.

20
mgibsonbr

"Eingehend" und "ausgehend" sind aus Sicht der betreffenden Maschine.

"Eingehend" bezieht sich auf Pakete, die von einem anderen Ort stammen und an der Maschine ankommen, während "ausgehend" sich auf Pakete bezieht, die von der Maschine stammen und an einem anderen Ort ankommen.

Wenn Sie auf Ihren Webserver verweisen, akzeptiert er meistens eingehende Verbindungen zu seinem Webdienst und stellt nur gelegentlich (oder vielleicht nie) ausgehende Verbindungen her.

Wenn Sie auf Ihren Webclient verweisen, werden meistens ausgehende Verbindungen zu anderen Diensten hergestellt und eingehende Verbindungen nur gelegentlich (oder möglicherweise nie) akzeptiert.

Jetzt klar wie Schlamm?

22
Michael Hampton

In Ihrem Fall müssen Sie nur eingehende Anforderungen an Port 80 zulassen.

Wenn eine Verbindung hergestellt wird, lässt die Firewall Pakete automatisch an den Client-Port zurück. Sie müssen dafür keine Regeln erstellen, da die Firewall dies weiß.

6
humpty

Ohne einen Zusammenhang darüber, was der bestimmte Text, den Sie lesen, bedeutet, wenn er sich auf "ausgehenden Webdienst" bezieht, gehe ich in meiner Antwort am einfachsten vor:

  1. Sie haben eine Firewall am Eingang/Ausgang Ihres Netzwerks.

  2. Die Firewall befindet sich in einem vollständig gesperrten Zustand und lässt KEINEN eingehenden oder ausgehenden Datenverkehr zu.

  3. Damit Ihre internen Clients externe Websites durchsuchen können, müssen Sie eine Regel für "ausgehende Webdienste" konfigurieren, mit der sie eine Verbindung zu diesen externen Websites herstellen können.

Im einfachsten Sinne würde die Regel ungefähr so ​​lauten:

JEDER interne Host zu JEDEM externen Host, auf dem das Ziel = TCP Port 80, dann ALLOW.

3
joeqwerty