Открытие брандмауэра для входящего порта 443

Question

Недавно я настроил брандмауэр ufw на компьютере с Linux, чтобы исходящие соединения были разрешены, входящие соединения были запрещены, а запрещенные соединения были зарегистрированы. Похоже, это работает нормально в большинстве случаев, но я вижу много запрещенных подключений, которые поступают через порт 443 (многие с IP-адресами, связанными с Facebook).

Я могу открыть этот порт для входящих соединений, но сначала хотел спросить, что это может быть. Разве HTTPS-запросы не должны инициироваться мной и рассматриваться как исходящие, а не входящие соединения? Типично ли открывать входящий порт 443 на пользовательских брандмауэрах?

Пример записи в журнале:

[UFW BLOCK] IN=wlan0 OUT= MAC=XXX SRC=66.220.151.87 DST=192.168.1.32 LEN=473 TOS=0x00 PREC=0x00 TTL=83 ID=59450 DF PROTO=TCP SPT=443 DPT=58530 WINDOW=33 RES=0x00 ACK PSH URGP=0

Answer 1

Пакеты, которые вы видите, являются ответными пакетами:

PROTO=TCP SPT=443 DPT=58530

Обратите внимание, что SPT - исходный порт - это 443. Когда вы обращаетесь к удаленному сайту https, вы отправляете пакеты с DPT - портом назначения - 443, любые ответы, которые вы получаете с этого сайта, будут поступать с их IP-адреса и с порта-источника 443.

Безусловно, самая распространенная причина для просмотра этих пакетов - после закрытия сеанса на удаленном сайте, и ваш межсетевой экран наблюдает за этим и очищает сеанс из своей таблицы активных соединений. Иногда из-за синхронизации, или из-за плохой реализации TCP на удаленном конце, или из-за дублированных пакетов, или из-за балансировщиков нагрузки, отправляющих один и тот же ответ, вы можете получить дополнительные пакеты для сеанса после завершения последовательности закрытия.

Ваш межсетевой экран не имеет активного сеанса для этих пакетов, чтобы соответствовать больше, и поэтому они отбрасываются и регистрируются, как вы видите их.

Их можно смело игнорировать. Не настраивайте брандмауэр, чтобы разрешить эти пакеты, поскольку это открывает ненужные дыры в вашей безопасности.