我正在将 Hetzner 用于只需要 80/443 和 22 可供外界访问的服务器。当我使用 Hetzner 防火墙模板时,它还添加了:
- 协议 icmp,我认为是用于 ping
- 端口 32768-65535 以 'ack' 的 tcp 标志打开
AWS 似乎关闭了一切,包括 ping。
- 是否有任何理由打开端口 32768-65535,“ack”是什么意思?
- 应该禁止协议 icmp 吗?
Nginx 服务器正在运行 https 并且 80 被重定向到 443。最好的做法是让 80 打开并重定向到 443,以防流量进入 80,还是应该关闭 80?
端口 80:端口 80 需要打开,以便 Nginx 可以重定向到端口 443。如果您阻止端口 80,客户端尝试通过 http 连接将超时。
有一个网站专门主张不应阻止 ICMP。
ACK是 TCP 用于建立连接的三次握手的最后一步。端口范围
32768-65535用于临时端口。因此不应触及防火墙规则。这些规则看起来与 AWS 安全组规则不同,因为 AWS 安全组规则是为入站或出站流量设置的。