Que signifient le trafic «entrant» et «sortant»?

20

J'ai vu de nombreuses ressources expliquant comment configurer le pare-feu d'un serveur pour autoriser le trafic entrant et sortant sur les ports HTTP standard ( 80et 443), mais je ne peux pas comprendre pourquoi j'aurais besoin de l'un d'eux. Dois-je débloquer les deux pour qu'un site Web "normal" fonctionne? Pour que les téléchargements de fichiers fonctionnent? Y a-t-il des situations où il serait conseillé de débloquer l'un et de laisser l'autre bloqué?

Désolé si c'est une question de base, mais je n'ai pu la trouver expliquée nulle part (je ne suis pas non plus anglophone natif). Je sais que dans un site Web «normal», le client est toujours celui qui lance une demande, donc je suppose qu'un serveur Web doit accepter le trafic entrant sur ces ports, et mon bon sens me dit que le serveur est autorisé à envoyer une réponse sans débloquer quoi que ce soit d'autre (sinon cela n'aurait pas de sens d'avoir deux types de règles). Est-ce exact?

Mais qu'est-ce qu'un trafic web (service) sortant et quelle serait son utilisation? AFAIK si le serveur voulait établir une connexion avec une autre machine, le port spécifique qui importe est celui de l'autre extrémité (c'est-à-dire le port de destination serait 80), de son côté tout port libre pourrait être utilisé (le port source serait aléatoire ). Je peux ouvrir des requêtes HTTP depuis mon serveur (en utilisant wgetpar exemple) sans débloquer quoi que ce soit. Je suppose donc que mes concepts d '"entrant" et de "sortant" sont en quelque sorte faux.

networking firewall mgibsonbr
la source

Réponses:

22

"Entrant" et "sortant" sont du point de vue de la machine en question.

"Entrant" fait référence aux paquets qui proviennent ailleurs et arrivent à la machine, tandis que "sortant" fait référence aux paquets qui proviennent de la machine et arrivent ailleurs.

Si vous vous référez à votre serveur Web, il accepte principalement les connexions entrantes à son service Web et établit seulement occasionnellement (ou peut-être jamais) les connexions sortantes.

Si vous vous référez à votre client Web, il établit principalement des connexions sortantes vers d'autres services et n'accepte qu'occasionnellement (ou peut-être jamais) les connexions entrantes.

Clair comme de la boue maintenant?

Michael Hampton
la source
3
J'ajouterais que pour envoyer une réponse à votre client, vous devez autoriser le trafic sortant pour les connexions établies. Ainsi, chaque fois qu'un client établit une connexion avec votre port 80, votre serveur peut communiquer avec n'importe quel port du client.
Hex
1
Tout à fait correct. Bien que tout pare-feu dynamique devrait gérer cela automatiquement.
Michael Hampton
1
Donc, mon serveur Web devrait débloquer les connexions entrantes sur les ports 80et 433, n'a pas besoin de se soucier des connexions sortantes sur ces ports, mais doit autoriser la connexion sortante dans la plage de ports dynamique / éphémère, n'est-ce pas? Et je suis toujours un peu confus avec la chose sortante: si un client Web essaie de se connecter à un site, le port de destination le serait 80, mais le port source pourrait être n'importe qui. Quel port un pare-feu de cette machine prend-il en compte pour décider de bloquer / débloquer?
mgibsonbr
@mgibsonbr Maintenant, vous tournez dans la théorie. Nous préférons ici les questions pratiques. :)
Michael Hampton
1
Étant donné que vous avez une connaissance limitée des pare-feu et du trafic, je vous recommande d'utiliser un script de création de pare-feu. UFW est un bon début. La page Web du projet est help.ubuntu.com/community/UFW , jetez -y un œil et vous gagnerez une compréhension de base des pare-feu et de la gestion du trafic. Si vous avez encore besoin d'aide, je vais essayer de clarifier en détail votre question.
Hex
6

Dans votre cas, vous n'avez qu'à laisser les demandes entrantes au port 80.

Lorsqu'une connexion est établie, le pare-feu laisse automatiquement sortir les paquets vers le port du client. Vous n'avez pas besoin de créer de règles pour cela car le pare-feu le sait.

humpty
la source
1
Cela ne répond pas à toute sa question, mais oui, s'il utilise un pare-feu dynamique, seuls 80 et 443 sont nécessaires.
89c3b1b8-b1ae-11e6-b842-48d705
3

Sans aucun contexte quant à ce que le texte particulier que vous lisez signifie quand il se réfère au trafic de "service Web sortant", je vais adopter l'approche la plus simple dans ma réponse:

  1. Vous avez un pare-feu à l'entrée / sortie de votre réseau.

  2. Le pare-feu est entièrement verrouillé et n'autorise AUCUN trafic entrant ou sortant.

  3. Pour que vos clients internes parcourent des sites Web externes, vous devez configurer une règle de "service Web sortant" qui leur permette de se connecter auxdits sites Web externes.

Dans les termes les plus simples, la règle se lirait comme suit:

N'IMPORTE QUEL hôte interne vers N'IMPORTE QUEL hôte externe où la destination = Port TCP 80 puis AUTORISER.

joeqwerty
la source
L'expression « trafic web service sortant » est venu de ce . Dans mon cas particulier, j'essaie de configurer le pare-feu dans une instance de serveur (cloud IBM). L'installation par défaut est venue avec la plupart des choses bloquées (je pouvais exécuter Apache mais ne pas y accéder de l'extérieur), et j'aimerais savoir ce que je dois débloquer pour pouvoir servir des pages, recevoir des téléchargements de fichiers (depuis le navigateur du client) , etc.
mgibsonbr