나는 최근에으악나가는 연결은 허용되고 들어오는 연결은 거부되며 거부된 연결이 기록되도록 Linux 시스템의 방화벽을 사용합니다. 이는 대부분의 경우 제대로 작동하는 것 같지만 포트 443(대부분 Facebook과 연결된 IP 포함)에서 들어오는 연결이 거부된 경우가 많이 있습니다.
들어오는 연결에 대해 해당 포트를 열 수 있지만 먼저 이것이 무엇인지 물어보고 싶었습니다. HTTPS 요청은 내가 시작하고 인바운드 연결이 아닌 아웃바운드로 처리되어야 하지 않나요? 소비자 방화벽에서 수신 포트 443을 여는 것이 일반적입니까?
로그 항목 예시:
[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0
답변1
보고 있는 패킷은 응답 패킷입니다.
PROTO=TCP SPT=443 DPT=58530
SPT(소스 포트)는 443입니다. 원격 https 사이트에 액세스할 때 DPT(대상 포트) 443을 사용하여 패킷을 보내는 경우 해당 사이트에서 받는 모든 응답은 해당 사이트의 IP와 소스 포트 443에서 시작됩니다. .
이러한 패킷을 보는 가장 일반적인 이유는 원격 사이트에 대한 세션을 닫은 후이며, 방화벽은 이를 관찰하고 활성 연결 테이블에서 해당 세션을 지운 후에 발생합니다. 때때로 타이밍, 원격 끝에서의 TCP 구현 불량, 중복 패킷 또는 동일한 응답을 보내는 로드 밸런서로 인해 닫기 시퀀스가 완료된 후 세션에 대한 추가 패킷을 얻을 수 있습니다.
방화벽에는 이러한 패킷을 더 이상 일치시킬 수 있는 활성 세션이 없으므로 패킷이 삭제되고 표시되는 대로 기록됩니다.
이는 무시해도 됩니다. 이러한 패킷을 허용하도록 방화벽을 조정하지 마십시오. 보안에 불필요한 구멍이 생기기 때문입니다.