Jika ISP atau firewall Anda memblokir semua koneksi yang masuk, bagaimana server web masih dapat mengirim Anda data ke browser Anda? Anda mengirim permintaan (keluar) dan server mengirim data (masuk). Jika Anda memblokir semua yang masuk, bagaimana server web merespons?
Bagaimana dengan streaming video dan game multi-pemain, di mana ia menggunakan UDP? UDP tidak terhubung, jadi tidak ada koneksi yang akan dibuat, jadi bagaimana firewall atau ISP mengatasinya?
Jawaban:
"Blok masuk" berarti koneksi baru yang masuk diblokir, tetapi lalu lintas yang mapan diizinkan. Jadi, jika koneksi baru keluar diizinkan, maka setengah masuk dari percakapan itu baik-baik saja.
Firewall mengelola ini dengan melacak status koneksi (firewall seperti itu sering disebut "firewall stateful"). Itu melihat SYN TCP keluar dan memungkinkan. Ia melihat SYN / ACK yang masuk, dan dapat memverifikasi bahwa itu cocok dengan SYN keluar yang dilihatnya, dan membiarkannya melaluinya, dan seterusnya. Jika memungkinkan jabat tangan tiga arah (misalnya, diizinkan sesuai aturan firewall) itu akan memungkinkan percakapan itu. Dan ketika ia melihat akhir dari percakapan itu (FIN atau RST) itu akan membuat koneksi itu dari daftar paket untuk memungkinkan.
UDP dilakukan dengan cara yang sama, meskipun melibatkan firewall yang cukup mengingat untuk berpura-pura bahwa UDP memiliki koneksi atau sesi (yang tidak dilakukan UDP).
sumber
@gowenfawr memiliki gambar tingkat tinggi di bawah. Namun, saya pikir saya akan menambahkan beberapa detail tentang bagaimana "pencocokan" untuk pelacakan koneksi dilakukan, karena mungkin terdengar seperti sihir bagi yang belum tahu.
Setiap koneksi TCP memiliki nomor port di setiap sisi. Seperti yang diketahui sebagian besar teknisi, server HTTP berjalan pada port 80. Ketika browser Anda terhubung ke server web, ia akan meminta sistem operasi untuk menghasilkan nomor port "lokal", yang akan menjadi sesuatu yang acak seperti 29672 yang tidak digunakan oleh yang lain Koneksi TCP dari komputer itu (dan OS dapat melakukan ini karena ia tahu tentang semua koneksi TCP yang aktif). Kemudian paket pengaturan TCP awal akan dikirim dari ip mesin Anda (IP_YOURS) dan nomor port 29672 ke ip server web (IP_WEBSERVER) dan nomor port 80. Pada saat itu, stateful firewall akan mengatakan "aha, paket mendatang dari port IP_WEBSERVER 80 pergi ke IP_YOURS port 29672 bukan koneksi baru, mereka adalah respons terhadap koneksi yang ada, dan harus diizinkan ". Firewall stateful mempertahankan tabel,
sumber