O que significa tráfego de entrada e saída?

20

Eu já vi muitos recursos explicando como configurar o firewall de um servidor para permitir tráfego de entrada e saída nas portas padrão HTTP ( 80e 443), mas não consigo descobrir por que precisaria de uma delas. Preciso desbloquear ambos para que um site "normal" funcione? Para o upload de arquivos funcionar? Existem situações em que seria aconselhável desbloquear um e deixar o outro bloqueado?

Desculpe se essa é uma pergunta básica, mas não a encontrei explicada em nenhum lugar (também não sou um falante nativo de inglês). Eu sei que em um site "regular" o cliente sempre é quem inicia uma solicitação, portanto, estou assumindo que um servidor da Web deve aceitar o tráfego de entrada nessas portas, e meu bom senso diz que o servidor tem permissão para enviar uma resposta sem desbloquear mais nada (caso contrário, não faria sentido ter dois tipos de regras). Isso está correto?

Mas o que é um tráfego da Web de saída (serviço) e qual seria seu uso? AFAIK, se o servidor quisesse iniciar uma conexão com outra máquina, a porta específica que importa é a do outro lado (ou seja, a porta de destino seria 80); por fim, qualquer porta livre poderia ser usada (a porta de origem seria aleatória). ) Posso abrir solicitações HTTP do meu servidor (usando, wgetpor exemplo) sem desbloquear nada. Portanto, estou assumindo que meus conceitos de "entrada" e "saída" estão errados de alguma forma.

mgibsonbr
fonte

Respostas:

22

"Entrada" e "saída" são da perspectiva da máquina em questão.

"Entrada" refere-se a pacotes que se originam em outro lugar e chegam à máquina, enquanto "saída" refere-se a pacotes que se originam na máquina e chegam a outro lugar.

Se você se referir ao seu servidor da Web, ele geralmente aceita conexões de entrada com o serviço da Web e apenas ocasionalmente (ou talvez nunca) faz conexões de saída.

Se você se referir ao seu cliente da Web, ele faz conexões de saída com outros serviços e apenas ocasionalmente (ou talvez nunca) aceita conexões de entrada.

Claro como lama agora?

Michael Hampton
fonte
3
Eu acrescentaria que Para enviar uma resposta ao seu cliente, você precisa permitir o tráfego de saída para conexões estabelecidas. Portanto, sempre que um cliente estabelece uma conexão com sua porta 80, seu servidor pode responder a qualquer porta do cliente.
Hex
11
Muito correto. Embora qualquer firewall com estado deva lidar com isso automaticamente.
Michael Hampton
11
Portanto, meu servidor da Web deve desbloquear conexões de entrada nas portas 80e 433, não precisa se preocupar com conexões de saída nessas portas, mas precisa permitir a conexão de saída no intervalo de portas dinâmico / efêmero, certo? E ainda estou um pouco confuso com a saída: se um cliente da Web tentar se conectar a um site, a porta de destino seria 80, mas a porta de origem poderia ser qualquer um. Qual porta um firewall nessa máquina consideraria ao decidir bloquear / desbloquear?
mgibsonbr
@mgibsonbr Agora você está se voltando para o teórico. Preferimos perguntas práticas aqui. :)
Michael Hampton
11
Considerando que você tem conhecimento limitado de firewalls e tráfego, recomendo que você use um script do construtor de firewall. UFW é um bom começo. A página do projeto é help.ubuntu.com/community/UFW , dê uma olhada e você obterá uma compreensão básica de firewalls e gerenciamento de tráfego. Se você ainda precisar de ajuda, tentarei dar um esclarecimento detalhado à sua pergunta.
Hex
6

No seu caso, você só precisa permitir solicitações de entrada para a porta 80.

Quando uma conexão é estabelecida, o firewall deixa automaticamente os pacotes de volta à porta do cliente. Você não precisa criar regras para isso porque o firewall sabe.

humpty
fonte
11
Isso não responde a toda a pergunta, mas sim, se ele estiver usando um firewall com estado, são necessários apenas 80 e 443.
89c3b1b8-b1ae-11e6-b842-48d705
3

Sem qualquer contexto sobre o significado do texto específico que você lê quando se refere ao tráfego de "serviço da web de saída", adotarei a abordagem mais simples em minha resposta:

  1. Você tem um firewall na entrada / saída da sua rede.

  2. O firewall entra em um estado totalmente bloqueado e não permite tráfego de entrada ou saída.

  3. Para que seus clientes internos naveguem em sites externos, é necessário configurar uma regra de "serviço da web de saída" que permita a conexão com os sites externos.

Nos termos mais simples, a regra seria algo como isto:

QUALQUER host interno para QUALQUER host externo em que o destino = Porta TCP 80 e PERMITIDO.

joeqwerty
fonte
A expressão "tráfego de serviço da web de saída" veio disso . No meu caso particular, estou tentando configurar o firewall em uma instância de servidor (nuvem IBM). A instalação padrão veio com a maioria das coisas bloqueadas (eu poderia executar o Apache, mas não acessá-lo de fora), e gostaria de saber as coisas básicas que devo desbloquear para poder servir páginas, receber uploads de arquivos (no navegador do cliente) , etc. E eu não sabia dizer se essa peça específica se aplicava ou não ao meu caso - já que apenas conta como, não por que.
mgibsonbr