Недавно я установилуфвбрандмауэр на машине Linux, чтобы исходящие соединения были разрешены, входящие соединения были запрещены, а запрещенные соединения регистрировались. Это, кажется, работает нормально в большинстве случаев, но я вижу много запрещенных соединений, которые являются входящими на порт 443 (многие с IP-адресами, связанными с Facebook).
Я могу открыть этот порт для входящих подключений, но сначала хотел спросить, что это может быть. Разве HTTPS-запросы не должны инициироваться мной и рассматриваться как исходящие, а не входящие подключения? Является ли типичным открывать входящий порт 443 на потребительских брандмауэрах?
Пример записи в журнале:
[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0
решение1
Пакеты, которые вы видите, являются ответными пакетами:
PROTO=TCP SPT=443 DPT=58530
Обратите внимание, что SPT (исходный порт) — 443. Когда вы обращаетесь к удаленному https-сайту, вы отправляете пакеты с DPT (порт назначения) 443, любые ответы, которые вы получите с этого сайта, будут исходить с его IP-адреса и с исходного порта 443.
Безусловно, наиболее распространенной причиной появления этих пакетов является закрытие сеанса с удаленным сайтом, и ваш брандмауэр замечает это и очищает сеанс из своей таблицы активных подключений. Иногда из-за синхронизации, или плохой реализации TCP на удаленном конце, или дублирующих пакетов, или балансировщиков нагрузки, отправляющих один и тот же ответ, вы можете получить дополнительные пакеты для сеанса после завершения последовательности закрытия.
На вашем брандмауэре больше нет активного сеанса для сопоставления этих пакетов, поэтому они отбрасываются и регистрируются по мере их появления.
Их можно спокойно игнорировать. Не настраивайте свой брандмауэр так, чтобы он разрешал эти пакеты, так как это открывает ненужные дыры в вашей безопасности.