Apa yang dimaksud dengan lalu lintas "masuk" dan "keluar"?

20

Saya telah melihat banyak sumber daya menjelaskan cara mengatur firewall server untuk memungkinkan lalu lintas masuk dan keluar pada port standar HTTP ( 80dan 443), tapi saya tidak tahu mengapa saya membutuhkan keduanya. Apakah saya perlu membuka blokir baik untuk "biasa" situs web bekerja? Agar unggahan file berfungsi? Apakah ada situasi di mana akan disarankan untuk membuka blokir satu dan membiarkan yang lain diblokir?

Maaf kalau itu pertanyaan dasar, tapi saya tidak dapat menemukannya dijelaskan di mana saja (juga saya bukan penutur asli bahasa Inggris). Saya tahu di situs web "biasa" klien selalu orang yang mengajukan permintaan, jadi saya berasumsi bahwa server web harus menerima lalu lintas masuk pada port tersebut, dan akal sehat saya mengatakan bahwa server diizinkan untuk mengirim respons tanpa membuka blokir yang lain (jika tidak, tidak masuk akal memiliki dua jenis aturan). Apakah itu benar?

Tapi apa yang dimaksud dengan lalu lintas web (layanan) keluar, dan apa gunanya? AFAIK jika server ingin memulai koneksi dengan komputer lain, port spesifik yang penting adalah yang ada di ujung lain (mis. Port tujuan akan 80), pada akhirnya port bebas apa pun dapat digunakan ( port sumber akan acak ). Saya dapat membuka permintaan HTTP dari server saya (menggunakan wgetmisalnya) tanpa membuka blokir apa pun. Jadi saya mengasumsikan konsep saya tentang "masuk" dan "keluar" salah.

networking firewall mgibsonbr
sumber

Jawaban:

22

"Masuk" dan "keluar" berasal dari perspektif mesin yang dimaksud.

"Masuk" mengacu pada paket yang berasal dari tempat lain dan tiba di mesin, sementara "keluar" mengacu pada paket yang berasal dari mesin dan tiba di tempat lain.

Jika Anda merujuk ke server web Anda, sebagian besar menerima koneksi masuk ke layanan web-nya, dan hanya kadang-kadang (atau mungkin tidak pernah) membuat koneksi keluar.

Jika Anda merujuk ke klien web Anda, itu sebagian besar membuat koneksi keluar ke layanan lain, dan hanya sesekali (atau mungkin tidak pernah) menerima koneksi masuk.

Jelas seperti lumpur sekarang?

Michael Hampton
sumber
3
Saya akan menambahkan tha Untuk mengirim tanggapan kepada klien Anda, Anda harus mengizinkan lalu lintas keluar untuk koneksi yang dibuat. Jadi, setiap kali klien membuat koneksi ke port Anda, server Anda dapat berbicara kembali ke port mana saja dari klien.
Hex
1
Cukup benar. Meskipun firewall stateful harus menangani ini secara otomatis.
Michael Hampton
1
Jadi, server web saya harus membuka blokir koneksi masuk pada port 80dan 433, tidak perlu khawatir tentang koneksi keluar pada port tersebut, tetapi perlu mengizinkan koneksi keluar dalam rentang port dinamis / singkat, apakah itu benar? Dan saya masih agak bingung dengan hal yang keluar: jika klien web mencoba terhubung ke suatu situs, port tujuan akan 80, tetapi port sumbernya bisa siapa saja. Port mana yang akan dipertimbangkan oleh firewall di mesin itu saat memutuskan untuk memblokir / membuka blokir?
mgibsonbr
@ mgibsonbr Sekarang Anda beralih ke teori. Kami lebih suka pertanyaan praktis di sini. :)
Michael Hampton
1
Mengingat Anda memiliki pengetahuan terbatas tentang firewall dan lalu lintas, saya sarankan Anda menggunakan skrip pembangun firewall. UFW adalah awal yang baik. Halaman web proyek ini adalah help.ubuntu.com/community/UFW , lihatlah dan Anda akan mendapatkan pemahaman dasar tentang firewall dan manajemen lalu lintas. Jika Anda masih membutuhkan bantuan, saya akan mencoba memberikan klarifikasi terperinci untuk pertanyaan Anda.
Hex
6

Dalam kasus Anda, Anda hanya perlu membiarkan permintaan masuk ke port 80.

Ketika koneksi dibuat, firewall akan secara otomatis membiarkan paket keluar kembali ke port klien. Anda tidak perlu membuat aturan untuk itu karena firewall tahu.

humpty
sumber
1
Ini tidak menjawab seluruh pertanyaannya, tapi ya, jika dia menggunakan firewall stateful, hanya 80 dan 443 yang diperlukan.
89c3b1b8-b1ae-11e6-b842-48d705
3

Tanpa konteks apa pun makna teks tertentu yang Anda baca ketika merujuk pada lalu lintas "layanan web keluar", saya akan mengambil pendekatan paling sederhana dalam jawaban saya:

  1. Anda memiliki firewall saat masuk / keluar dari jaringan Anda.

  2. Firewall hadir dalam keadaan terkunci sepenuhnya dan TIDAK memungkinkan lalu lintas masuk atau keluar.

  3. Agar klien internal Anda menelusuri situs web eksternal, Anda perlu mengonfigurasi aturan "layanan web keluar" yang memungkinkan mereka terhubung ke situs web eksternal tersebut.

Dalam istilah yang paling sederhana, aturan akan membaca sesuatu seperti ini:

Host internal APAPUN ke host eksternal APAPUN di mana tujuan = TCP Port 80 lalu DIIZINKAN.

joeqwerty
sumber
Ungkapan "lalu lintas layanan web keluar" berasal dari ini . Dalam kasus khusus saya, saya mencoba mengatur firewall dalam mesin virtual server (IBM cloud). Instalasi default datang dengan sebagian besar hal diblokir (saya bisa menjalankan Apache tetapi tidak mengaksesnya dari luar), dan saya ingin tahu hal-hal miminal yang harus saya batalkan untuk dapat melayani halaman, menerima unggahan file (dari browser klien) , dll. Dan saya tidak tahu apakah bagian tertentu itu berlaku untuk kasus saya atau tidak - karena hanya memberitahu caranya, bukan mengapa.
mgibsonbr