Ich habe vor kurzem dieufwFirewall auf einem Linux-Rechner, sodass ausgehende Verbindungen zugelassen, eingehende Verbindungen abgelehnt und abgelehnte Verbindungen protokolliert werden. Das scheint in den meisten Fällen gut zu funktionieren, aber ich sehe viele abgelehnte Verbindungen, die über Port 443 eingehen (viele mit IPs, die mit Facebook verknüpft sind).
Ich kann diesen Port für eingehende Verbindungen öffnen, wollte aber zuerst fragen, welche das sein könnten. Sollten HTTPS-Anfragen nicht von mir initiiert und als ausgehende, nicht als eingehende Verbindungen behandelt werden? Ist es bei Consumer-Firewalls üblich, den eingehenden Port 443 zu öffnen?
Ein Beispiel für einen Protokolleintrag:
[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0
Antwort1
Die Pakete, die Sie sehen, sind Antwortpakete:
PROTO=TCP SPT=443 DPT=58530
Beachten Sie, dass der SPT (Quellport) 443 ist. Wenn Sie auf eine Remote-HTTP-Site zugreifen, senden Sie Pakete mit einem DPT (Zielport) von 443. Alle Antworten, die Sie von dieser Site erhalten, stammen von deren IP und vom Quellport 443.
Der mit Abstand häufigste Grund für das Auftreten dieser Pakete ist, dass Sie eine Sitzung mit der Remote-Site schließen. Ihre Firewall bemerkt dies und löscht die Sitzung aus ihrer Tabelle aktiver Verbindungen. Manchmal können Sie aufgrund des Timings, einer schlechten TCP-Implementierung auf der Remote-Seite, doppelter Pakete oder Loadbalancer, die dieselbe Antwort senden, zusätzliche Pakete für eine Sitzung erhalten, nachdem die Schließsequenz abgeschlossen ist.
Ihre Firewall verfügt nicht mehr über eine aktive Sitzung, mit der diese Pakete übereinstimmen könnten. Daher werden sie gelöscht und protokolliert, sobald Sie sie sehen.
Sie können getrost ignoriert werden. Passen Sie Ihre Firewall nicht so an, dass diese Pakete zugelassen werden, da dies unnötige Sicherheitslücken öffnet.