我已经看到很多资源解释如何设置服务器的防火墙以允许 HTTP 标准端口 (80和443) 上的传入和传出流量,但我不明白为什么我需要它们中的任何一个。我是否需要同时取消阻止“常规”网站才能正常工作?为了文件上传工作?在某些情况下,是否建议取消阻止一个并阻止另一个?
抱歉,如果这是一个基本问题,但我无法在任何地方找到它的解释(而且我不是以英语为母语的人)。我知道在“常规”网站中,客户端始终是发起请求的人,因此我假设 Web 服务器必须接受这些端口上的传入流量,并且我的常识告诉我允许服务器发送响应无需解锁其他任何东西(否则拥有两种类型的规则是没有意义的)。那是对的吗?
但什么是传出网络(服务)流量,它的用途是什么?AFAIK 如果服务器想要启动与另一台机器的连接,重要的特定端口是另一端的端口(即目标端口是80),在其端可以使用任何空闲端口(源端口将是随机的). 我可以从我的服务器(wget例如使用)打开 HTTP 请求,而无需解除任何阻塞。所以我假设我的“传入”和“传出”概念在某种程度上是错误的。
“传入”和“传出”是从相关机器的角度来看的。
“传入”是指来自其他地方并到达机器的数据包,而“传出”是指来自机器并到达其他地方的数据包。
如果您引用您的 Web 服务器,它主要接受到其 Web 服务的传入连接,并且只是偶尔(或可能从不)进行传出连接。
如果您引用您的 Web 客户端,它主要与其他服务建立传出连接,并且只是偶尔(或可能从不)接受传入连接。
现在一清二楚?
在您的情况下,您只需要让传入请求进入端口 80。
建立连接后,防火墙会自动将数据包放回客户端端口。您不需要为此创建规则,因为防火墙知道。
在没有任何关于您阅读的特定文本提到“传出 Web 服务”流量时的含义的上下文的情况下,我将在我的回答中采用最简单的方法:
您在网络的入口/出口处有防火墙。
防火墙进入完全锁定状态,不允许入站或出站流量。
为了让您的内部客户浏览外部网站,您需要配置一个“出站网络服务”规则,允许他们连接到所述外部网站。
用最简单的术语来说,规则应该是这样的:
任何内部主机到任何外部主机,其中目标 = TCP 端口 80 然后允许。