Удаленная блокировка портов в брандмауэрах? - PullRequest
Новая
       30

Удаленная блокировка портов в брандмауэрах?

0 голосов
/ 10 декабря 2010

некоторые парни используют брандмауэр на своих ноутбуках, который не только блокирует их собственные локальные входящие порты (кроме тех, которые им нужны для своего приложения), но и блокирует сообщения, если они не выданы из отдельный номер порта. Мы говорим о локальном UDP-сервере, который прослушивает UDP-трансляции. Проблема в том, что удаленный клиент использует случайный порт, скажем, 1024, который заблокирован, если он не скажет брандмауэру принять его.

Что меня удивляет, так это то, что, насколько я знаю, использование сокетов в моих программах заключается в том, что обычно клиент получает свой номер порта из ОС, тогда как только когда у вас есть сервер, вы привязываете сокет. в отдельный порт, верно?

В моей литературе, а также в учебных пособиях и фрагментах кода в Интернете я не нашел никаких подсказок о том, что клиенты вообще должны использовать фиксированные номера портов.

Так как же это на самом деле? Я, наверное, упускаю точку? Есть ли клиентские приложения, использующие фиксированные порты? Является ли на самом деле полезным для блокировки удаленных портов с помощью брандмауэра? И если да, то какой уровень дополнительной безопасности вам это дает?

Спасибо за просвещение заранее ...

Ответы [ 2 ]

0 голосов
/ 11 декабря 2010

Хотя API по умолчанию позволяют сетевому стеку выбирать локальный порт для клиентских подключений, клиенты могут указывать фиксированный порт по разным причинам.

  • Некоторые спецификации (FTP) указывают фиксированный порт для клиентов. Большинству серверов все равно, правильно ли это понимают клиенты.
  • Некоторые клиенты используют фиксированный пул портов для выхода из локальной сети в Интернет. Это позволяет правилам брандмауэра более полно блокировать исходящий трафик.
  • Исходные порты иногда используются как слабый тип «безопасности через неизвестность».
0 голосов
/ 10 декабря 2010

Вы всегда получаете случайный адрес и / или порт, когда явно не привязаны к одному перед отправкой.

Демоны обычно связаны с фиксированным портом, так что:

  • на самом деле вы можете связаться с ними без необходимости пробовать все возможные порты или использовать вторичный распознаватель (помните дерьмо с отображением портов SUNRPC?)
  • , а сокет TCP не может прослушивать ()он не привязан к порту, IIRC.

Существуют ли клиентские приложения, использующие фиксированные порты?

Некоторые из них можно настроить так, например, BIND9.

полезно блокировать удаленные порты с помощью брандмауэра?

Нет, потому что ваш партнер может выбрать любой свой порт.Заблокируйте его, и вы, так сказать, потеряете клиента.

...