防火墙中的远程端口阻塞？

Question

有些人在他们的笔记本电脑上使用防火墙，这不仅会阻止他们自己的本地传入端口（除了他们应用程序所需的端口），还会阻止消息，除非它们是从发出的 em>一个不同的端口号。我们谈论的是收听UDP广播的本地UDP服务器。 问题是远程客户端使用随机端口，比如1024，除非他们告诉防火墙接受它，否则它会被阻止。

让我感到困惑的是，据我所知，在我的程序中使用套接字通常是客户端从操作系统获取其端口号，而只有当你有一台服务器时，才绑定你的套接字到一个不同的端口，对吗？

在我的文献以及网络上的教程和代码片段中，我没有找到客户端应该使用固定端口号的任何线索。

那么现实情况如何？我可能错过了一点吗？ 是否有使用固定端口的客户端应用程序？ 用防火墙阻止远程端口实际上是有用吗？ 如果是的话，这给你带来了多大程度的增加安全性？

感谢事先的启发......

Answer 1

在发送之前未明确绑定到一个地址和/或端口时，总是会得到一个随机地址和/或端口。

守护进程通常绑定到固定端口，因此：

• 您实际上可以联系他们而无需尝试所有可能的端口或使用辅助解析器（还记得SUNRPC端口映射废话吗？）
• 并且因为如果TCP套接字没有绑定到端口IIRC，则不允许侦听（）。

  

是否有使用固定端口的客户端应用程序？

有些可以像BIND9那样进行配置。

  

是否可以阻止带防火墙的远程端口？

不，因为你的同伴可能会选择他的任何一个端口。阻止他，你会失去一个客户，可以这么说。

Answer 2

虽然默认API允许网络堆栈为客户端连接选择本地端口，但客户端可能出于各种原因指定固定端口。

• 某些规范（FTP）为客户端指定固定端口。大多数服务器都不关心客户端是否正确。
• 有些客户端使用固定的端口池从LAN到Internet。这允许防火墙规则更完全地锁定出站流量。
• 源端口有时被用作“通过默默无闻的安全性”的弱类型。