ファイアウォールでのリモートポートブロッキング?
質問
一部の人は、自分のラップトップをブロックするだけでなく、ラップトップにファイアウォールを使用しています ローカル 着信ポート(申請に必要なポートを除く)が、発行されない限りメッセージもブロックします から 個別のポート番号。 UDPの放送を聞いているローカルUDPサーバーについて話している。問題は、リモートクライアントがランダムポート、たとえば1024を使用していることです。これは、ファイアウォールに受け入れるように指示しない限りブロックされます。
私を困惑させるのは、私のプログラムでソケットを使用することから私が知っている限りでは、通常 クライアント OSからポート番号を取得しますが、サーバーを持っている場合にのみ、ソケットを別々のポートにバインドしますよね?
私の文献やチュートリアルやコードスニペットでは、クライアントが固定ポート番号をまったく使用する必要があるという手がかりが見つかりませんでした。
それで、これは現実にはどうですか?私はおそらくポイントを逃していますか?固定ポートを使用しているクライアントアプリケーションはありますか?実際にはそうです 使える 封鎖する リモート ファイアウォール付きのポート?はいの場合、これはどのレベルの追加セキュリティを与えますか?
事前に啓発をありがとう...
解決
デフォルトのAPIでは、ネットワークスタックがクライアント接続用のローカルポートを選択できますが、クライアントはさまざまな理由で固定ポートを指定できます。
- 一部の仕様(FTP)は、クライアント用の固定ポートを指定します。ほとんどのサーバーは、クライアントがこれを正しくするかどうかを気にしません。
- 一部のクライアントは、LANからインターネットへの出口に固定されたポートプールを使用しています。これにより、ファイアウォールルールがアウトバウンドトラフィックをより完全にロックダウンできるようになります。
- ソースポートは、「不明瞭なセキュリティ」の弱いタイプとして使用される場合があります。
他のヒント
送信する前に明示的に1つにバインドされていない場合は、常にランダムなアドレスやポートを取得します。
デーモンはそうです いつもの 固定ポートにバインドされています。
- すべての可能なポートを試したり、セカンダリリゾルバーを使用したりすることなく実際に連絡することができます(SunRPCポートマッピングがらくたを覚えていますか?)
- また、TCPソケットがポートにバインドされていない場合、iRICに耳を傾けることが許可されていないためです。
固定ポートを使用しているクライアントアプリケーションはありますか?
bind9のように構成できるものもあります。
ファイアウォールでリモートポートをブロックするのに役立ちますか?
いいえ、あなたのピアは彼の任意のポートを選択するかもしれないからです。彼をブロックすると、いわば顧客を失うでしょう。