Se você bloquear todas as conexões de entrada, como ainda poderá usar a Internet?

Question 1

"Bloco de entrada" significa que a entradanovas conexõesestão bloqueados, masestabelecidoo tráfego é permitido. Então, se for de saídanovas conexõessão permitidos, então a metade recebida da conversa está correta.

O firewall gerencia isso rastreando o estado das conexões (esse firewall costuma ser chamado de "firewall com estado"). Ele vê o TCP SYN de saída e permite isso. Ele vê um SYN/ACK de entrada e pode verificar se ele corresponde ao SYN de saída que viu, e deixa passar, e assim por diante. Se permitir um handshake de três vias (por exemplo, é permitido de acordo com as regras do firewall), permitirá essa conversa. E quando chegar ao fim dessa conversa (FINs ou RST), retirará essa conexão da lista de pacotes permitidos.

O UDP é feito de forma semelhante, embora envolva que o firewall se lembre o suficiente para fingir que o UDP tem uma conexão ou sessão (o que o UDP não tem).

Answer

"Bloco de entrada" significa que a entradanovas conexõesestão bloqueados, masestabelecidoo tráfego é permitido. Então, se for de saídanovas conexõessão permitidos, então a metade recebida da conversa está correta.

O firewall gerencia isso rastreando o estado das conexões (esse firewall costuma ser chamado de "firewall com estado"). Ele vê o TCP SYN de saída e permite isso. Ele vê um SYN/ACK de entrada e pode verificar se ele corresponde ao SYN de saída que viu, e deixa passar, e assim por diante. Se permitir um handshake de três vias (por exemplo, é permitido de acordo com as regras do firewall), permitirá essa conversa. E quando chegar ao fim dessa conversa (FINs ou RST), retirará essa conexão da lista de pacotes permitidos.

O UDP é feito de forma semelhante, embora envolva que o firewall se lembre o suficiente para fingir que o UDP tem uma conexão ou sessão (o que o UDP não tem).

Question 2

@gowenfawr abaixou a imagem de alto nível. No entanto, pensei em adicionar alguns detalhes sobre como a "correspondência" para rastreamento de conexão é realizada, pois pode parecer mágica para os não iniciados.

Cada conexão TCP possui um número de porta de cada lado. Como a maioria dos técnicos sabe, os servidores HTTP são executados na porta 80. Quando seu navegador se conecta a um servidor web, ele solicitará ao sistema operacional que gere um número de porta "local", que será algo aleatório como 29672 que não é usado por nenhum outro. Conexão TCP desse computador (e o sistema operacional pode fazer isso porque conhece todas as conexões TCP ativas). Em seguida, um pacote de configuração TCP inicial será enviado do ip da sua máquina (IP_YOURS) e da porta número 29672 para o ip do servidor web (IP_WEBSERVER) e da porta número 80. Nesse ponto, o firewall com estado dirá "aha, pacotes futuros da porta IP_WEBSERVER 80 indo para a porta IP_YOURS 29672 não são novas conexões, são respostas a uma conexão existente e devem ser permitidas". Firewalls com estado mantêm uma tabela, e toda essa tabela expira eventualmente se nenhum pacote for visto indo em qualquer direção por um longo período.

Answer

@gowenfawr abaixou a imagem de alto nível. No entanto, pensei em adicionar alguns detalhes sobre como a "correspondência" para rastreamento de conexão é realizada, pois pode parecer mágica para os não iniciados.

Cada conexão TCP possui um número de porta de cada lado. Como a maioria dos técnicos sabe, os servidores HTTP são executados na porta 80. Quando seu navegador se conecta a um servidor web, ele solicitará ao sistema operacional que gere um número de porta "local", que será algo aleatório como 29672 que não é usado por nenhum outro. Conexão TCP desse computador (e o sistema operacional pode fazer isso porque conhece todas as conexões TCP ativas). Em seguida, um pacote de configuração TCP inicial será enviado do ip da sua máquina (IP_YOURS) e da porta número 29672 para o ip do servidor web (IP_WEBSERVER) e da porta número 80. Nesse ponto, o firewall com estado dirá "aha, pacotes futuros da porta IP_WEBSERVER 80 indo para a porta IP_YOURS 29672 não são novas conexões, são respostas a uma conexão existente e devem ser permitidas". Firewalls com estado mantêm uma tabela, e toda essa tabela expira eventualmente se nenhum pacote for visto indo em qualquer direção por um longo período.

Question 3

Acho que o firewall serve apenas para bloquear conexões de renda não autorizadas. Conforme você envia uma solicitação ao DNS, o DNS responde, esta não é uma conexão de entrada não autorizada.

Answer

Acho que o firewall serve apenas para bloquear conexões de renda não autorizadas. Conforme você envia uma solicitação ao DNS, o DNS responde, esta não é uma conexão de entrada não autorizada.

Question 4

Não estou executando um servidor, acesso determinados servidores. Quero que as conexões sejam mais seguras. Minha idéia é sempre chamar o servidor através daquela porta que você recebeu. Nunca permita que o servidor ligue para você

Answer

Não estou executando um servidor, acesso determinados servidores. Quero que as conexões sejam mais seguras. Minha idéia é sempre chamar o servidor através daquela porta que você recebeu. Nunca permita que o servidor ligue para você

Se você bloquear todas as conexões de entrada, como ainda poderá usar a Internet?

Responder1

Responder2

Responder3

Responder4

informação relacionada