私は最近、ユーフォLinux マシンのファイアウォールを設定して、送信接続を許可し、受信接続を拒否し、拒否された接続をログに記録します。ほとんどの場合、これで問題なく動作するようですが、ポート 443 で受信する接続が拒否されるケースが多く見られます (その多くは Facebook に関連付けられた IP です)。
そのポートを着信接続に開くことはできますが、まずはこれが何なのかを知りたいと思います。HTTPS リクエストは私が開始し、着信接続ではなく発信接続として扱われるべきではないでしょうか? 消費者向けファイアウォールで着信ポート 443 を開くのは一般的ですか?
ログエントリの例:
[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0
答え1
表示されているパケットは応答パケットです。
PROTO=TCP SPT=443 DPT=58530
SPT (送信元ポート) は 443 であることに注意してください。リモート https サイトにアクセスする場合、DPT (宛先ポート) が 443 のパケットを送信しており、そのサイトから受け取る応答は、そのサイトの IP と送信元ポート 443 から発信されます。
これらのパケットが表示される最も一般的な理由は、リモート サイトへのセッションを閉じた後、ファイアウォールがこれを認識し、アクティブな接続のテーブルからセッションをクリアすることです。タイミング、リモート エンドでの TCP の実装の不備、パケットの重複、またはロードバランサーが同じ応答を送信することなどにより、クローズ シーケンスが完了した後にセッションで余分なパケットが受信されることがあります。
ファイアウォールにはこれらのパケットが一致するアクティブなセッションがないため、これらのパケットはドロップされ、表示されているとおりにログに記録されます。
これらは無視しても問題ありません。これらのパケットを許可するようにファイアウォールを調整しないでください。セキュリティに不要な穴が開いてしまいます。