Firewall

Web 伺服器的標準埠

  • April 10, 2019

我正在將 Hetzner 用於只需要 80/443 和 22 可供外界訪問的伺服器。當我使用 Hetzner 防火牆模板時,它還添加了:

  • 協議 icmp,我認為是用於 ping
  • 埠 32768-65535 以 ‘ack’ 的 tcp 標誌打開

AWS 似乎關閉了一切,包括 ping。

  • 是否有任何理由打開埠 32768-65535,“ack”是什麼意思?
  • 應該禁止協議 icmp 嗎?

Nginx 伺服器正在執行 https 並且 80 被重定向到 443。最好的做法是讓 80 打開並重定向到 443,以防流量進入 80,還是應該關閉 80?

埠截圖

埠 80:埠 80 需要打開,以便 Nginx 可以重定向到埠 443。如果您阻止埠 80,客戶端嘗試通過 http 連接將超時。

有一個網站專門主張不應阻止 ICMP。

ACK是 TCP 用於建立連接的三次握手的最後一步。埠範圍32768-65535用於臨時埠。因此不應觸及防火牆規則。

這些規則看起來與 AWS 安全組規則不同,因為 AWS 安全組規則是為入站或出站流量設置的。

引用自:https://serverfault.com/questions/962412