什么是一些端口,永远不能阻止出站在防火墙,这样做会阻止基本的互联网使用? 有些我能想到的是:端口53 udp / tcp – dns,阻止这将阻止用户访问任何域端口80 tcp – http端口443 tcp – https是这些全部,并且这些端口总是可访问每个连接到的主机互联网?
在出站防火墙规则中没有需要打开的完全访问端口。
为什么? 因为通过代理请求我们可以实现同样的事情,除了更多的控制。
最常见的三种:
然后,您只需设置防火墙,以允许仅与运行这些服务的计算机相关的IP进行连接。
基本上,这是一个没有真正正确答案的主观问题。
哇,这个问题有一个宽泛而复杂的答案。
主机通常不直接连接到互联网。 他们通常坐在某种防火墙\路由器后面。
除非主机与另一个主机有活动连接,否则出站端口不会在主机上打开。
主机不连接从端口80,端口443等连接到端口80,端口443等
您引用的端口是目标主机上的入站端口。 源主机上的出站端口是一个随机端口,从临时端口范围中select。
您技术上不需要在防火墙上打开任何出站端口。 如果你想隔离你的networking,你会阻止所有的传出stream量。
防火墙通常有出站stream量的“任意”规则,即进入防火墙(本地局域网)内部接口的出站stream量不受限制,返回stream量不受限制。
Web服务器侦听端口80上的INCOMING连接。DNS服务器侦听端口53上的INCOMING连接等。这些是入站端口,而不是出站端口。
值得注意的是,港口不必完全开放或closures。 防火墙可能只允许标准DNS相关端口通过本地DNS服务器,或者透明代理可以捕获连接,并且只有在协议正确的情况下才将该端口转发到最终目的地(例如,这可能会阻止您使用端口80用于传出P2P连接而不阻断正常的HTTPstream量 – 虽然它不会阻止你尝试使用HTTP-> P2P代理)。
您不能保证任何端口将被打开,或者如果您发现它在某些情况下是开放的,即使从相同的位置也不会公开所有的通信尝试。
由于HTTP是无处不在的,因此,您将findHTTP(S)不被允许但其他协议所在的环境并不是完全不可能的。
定义你的意思是基本的互联网服务,如imap,imaps,dns,smtp,https …
egrep '(your|list|items|here)' /etc/services | awk '{print $2}' 那些港口。
尽pipe我可以想象绝大多数的消费者都是开放的,但是企业用户可能会在代理之后进行洗牌,完全防火,等等,这是不可能的。 。