在防火牆設定中,入站規則的本機連接埠非常明顯:那就是您要偵聽的連接埠。然而,遠端埠聽起來很無稽之談:在典型的協定中,客戶端使用任意端口,因此限制遠端端口將破壞您的服務。
圖片借自Windows 2016 Server 防火牆的本機連接埠和遠端連接埠有什麼不同?
雖然圖片是windows防火牆設置,但我猜其他防火牆也有類似的。
是否有限制客戶端連接埠(遠端連接埠)入站流量的情況?
答案1
有許多軟體和協議,客戶端可以從固定端口請求伺服器。
- 我想到的是 DNS,其中客戶端請求(從連接埠 53)遠端伺服器(連接埠 53)。因此,伺服器端的深度防禦規則是僅允許遠端客戶端通過其遠端連接埠 53。
- 我認為 ldap 協定的作用相同:客戶端從固定且定義良好的連接埠發出請求。
- 您可能還會想到各種同步服務(例如 SMB、NFS 以及其他各種服務…)。
- 例如,您也可以定義遠端連接埠範圍防火牆,以確保用戶端正在從遠端非特權連接埠進行通訊