Recientemente configuré eluffffirewall en una máquina Linux para que se permitan las conexiones salientes, se rechacen las conexiones entrantes y se registren las conexiones denegadas. Esto parece funcionar bien en la mayoría de los casos, pero veo muchas conexiones denegadas que entran en el puerto 443 (muchas con IP asociadas con Facebook).
Puedo abrir ese puerto a conexiones entrantes, pero primero quería preguntar cuáles podrían ser. ¿No debería iniciar yo las solicitudes HTTPS y tratarlas como conexiones salientes, no entrantes? ¿Es típico abrir el puerto entrante 443 en los firewalls de los consumidores?
Una entrada de registro de ejemplo:
[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0
Respuesta1
Los paquetes que está viendo son paquetes de respuesta:
PROTO=TCP SPT=443 DPT=58530
Tenga en cuenta que el SPT (puerto de origen) es 443. Cuando accede a un sitio https remoto, está enviando paquetes con un DPT (puerto de destino) de 443, cualquier respuesta que reciba de ese sitio se originará desde su IP y desde el puerto de origen 443. .
Con diferencia, la razón más común para ver estos paquetes es después de cerrar una sesión en el sitio remoto, y su firewall observa esto y borra la sesión de su tabla de conexiones activas. En algún momento, debido a la sincronización, a una mala implementación de TCP en el extremo remoto, a paquetes duplicados o a balanceadores de carga que envían la misma respuesta, puede obtener paquetes adicionales para una sesión después de que se haya completado la secuencia de cierre.
Su firewall ya no tiene una sesión activa para que estos paquetes coincidan, por lo que se descartan y se registran a medida que los ve.
Se pueden ignorar con seguridad. No ajuste su firewall para permitir estos paquetes, ya que abre agujeros innecesarios en su seguridad.