Специальная логистика внутренних маршрутизаторов, связанная с блокировкой портов на маршрутизаторах, которые имеют такую возможность.

Т.е. когда вы блокируете какой-либо порт на маршрутизаторе (не говоря о правилах программного брандмауэра узла), маршрутизатор блокирует порт только в глобальной сети (?) или он также блокирует трафик, идущий от любого локального узла к другим локальным узлам (LAN).

То есть, если порты не отслеживаются службой прослушивания блокирующей защиты или приложением на локальном узле, то можете ли вы заблокировать порты на маршрутизаторе (выход, вход или оба), но по-прежнему обмениваться данными через одни и те же указанные порты в локальной сети?

Скажем, мой маршрутизатор находится на локальной стороне 192.168.1.1, а узел на 192.168.1.4 отправляет запрос на любой из портов TCP и UDP 135 ~ 138 или 445, и эти порты заблокированы на маршрутизаторе, будут ли они по-прежнему подключаться к любой из локальных узлов?

Я спрашиваю об этом, так как в прошлом и здесь, и в других местах я читал, что "большинство" потребительских маршрутизаторов имеют коммутатор для портов LAN, который подключен к оборудованию для маршрутизации между коммутатором и портом WAN. Таким образом, по сути, маршрутизатор не контролирует маршрутизацию пакетов, направленных на другой узел Lan.

И если так, то, конечно, подвох 22, это правило производственной приверженности или просто "большинство" маршрутизаторов не блокируют коммутатор ЛВС также с помощью блокировки портов?

|источник

2 ответа2

1

Ваша терминология неверна (ваш вопрос звучит бессмысленно). Не существует такого понятия, как "межсетевые экраны программного обеспечения узла" - интересно, если вы имеете в виду «программное обеспечение, работающее на компьютере / не маршрутизаторе устройства. Существует также вопрос относительно того, что вы подразумеваете под маршрутизатором. Из контекста вашего вопроса, я собираюсь предположить, что для первой части вы имеете в виду типичный домашний / малый офисный маршрутизатор - обычно один с портом WAN и 4 портами LAN.

Эти маршрутизаторы могут рассматриваться как эффективные, включающие в себя 2-портовый маршрутизатор со встроенным коммутатором для стороны LAN (или 2-портовый маршрутизатор, со стороной LAN подключенный к внешнему коммутатору), поэтому порты TCP и UDP 135 ~ 138 или 445 не будут быть заблокирован роутером.

Чтобы ответить на часть вашего вопроса о "правиле присоединения" или просто "большинство" маршрутизаторов не блокируют коммутатор ЛВС также с помощью блокировки портов?«Это зависит от того, как именно вы определяете маршрутизатор -

По строгому определению, маршрутизатор - это устройство, которое пересылает пакеты между сетями, поэтому любой маршрутизатор будет вести себя так, как описано выше. Однако существуют и другие устройства, такие как "коммутаторы уровня 4" и брандмауэры, которые могут перехватывать пакеты между портами - даже если пакеты переключаются только между портами, а не маршрутизируются - и могут управлять трафиком межсетевого экрана / межсетевым экраном между портами. Я бы не назвал эти устройства маршрутизаторами.

Кроме того, многие маршрутизаторы (даже 4-портовые SOHO) могут быть настроены на такое поведение, хотя и с существенными трудностями и снижением производительности.

Было бы справедливо сказать, что большинство маршрутизаторов не используют брандмауэр в локальной сети, потому что в большинстве случаев использование этой функции не приносит пользы, и это значительно увеличивает затраты на ее правильное использование. (Вместо использования процессора ARM с низким энергопотреблением для начала им может понадобиться процессор x86, поэтому аппаратное обеспечение будет стоить в 5-15 раз дороже).

|источник
0

TCP/IP имеет понятие сокета - это IP-адрес плюс номер порта вместе как единое целое. Таким образом, 192.168.1.99:53 отличается от 8.8.8.8:53, и оба могут существовать одновременно без конфликтов.

"Блокировка портов" может иметь два значения:

  • Фильтр пакетов может обрабатывать трафик на интерфейсе, удаляя нежелательный трафик, прежде чем приложения увидят его. Это может существовать в вашей локальной системе или маршрутизаторе и может существовать в одном, многих или во всех интерфейсах в зависимости от того, что такое фильтр пакетов и как он работает.

  • Если ваш маршрутизатор настроен так, чтобы не пересылать трафик, который он получает через интерфейс с выходом в Интернет (WAN), в любую точку локальной сети, некоторые могут использовать фразу "заблокированный порт" для обозначения этой ситуации.

Так:

  • Да, ваш маршрутизатор может получать трафик и обрабатывать его сам, не перенаправляя обратно в локальную сеть. Если вы включите удаленное управление на своем маршрутизаторе, у него будет небольшой веб-сервер, принимающий запросы на 80 или 443, обрабатывающий их сам и отвечающий, ничего не отправляя обратно в локальную локальную сеть.

  • Да, маршрутизатор может быть настроен для пересылки входящего трафика через определенный порт на устройство с определенным IP-адресом, но это устройство не отвечает, поскольку локальный фильтр пакетов блокирует трафик.

  • Да, интерфейсы вашего маршрутизатора могут не реагировать на трафик из локальной или глобальной сети из-за того, что фильтр пакетов сначала выполняет свою работу с трафиком.

Многие домашние маршрутизаторы основаны на Linux, а в Linux есть функция iptables которая выполняет фильтрацию пакетов. Вы можете изменить конфигурацию iptables напрямую, если на маршрутизаторе работает ssh или telnet и имеются доступные двоичные файлы, что многие делают. Интерфейс управления большинством маршрутизаторов, вероятно, изменяет правила iptables внутренне в соответствии с конкретными настройками.

|источник

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .