防火牆中的遠程端口阻塞？

Question

有些人使用防火牆對他們的筆記本電腦，不僅阻礙了他們自己的當地傳入端口（除了那些他們需要爲他們的應用程序），而且還阻止消息，除非他們是從鮮明的端口號發出。我們正在談論一個正在監聽UDP廣播的本地UDP服務器。 問題是遠程客戶端使用一個隨機端口（1024），除非它告訴防火牆接受它，否則它將被阻止。

令我百思不解的是，據我從我的程序使用套接字知道的是，通常客戶會從操作系統的端口號，而只有當你有一個服務器，您將套接字綁定到不同的港口，對嗎？

在我的文獻中，在網上的教程和代碼片段中，我還沒有發現任何線索，即客戶端應該使用固定端口號。

那麼現實如何呢？我可能錯過了一點？ 是否有客戶端應用程序使用固定端口？ 實際上是有用阻止遠程端口與防火牆？ 如果是的話，這會給你什麼樣的附加安全級別？

感謝您事先啓蒙......

Answer 1

儘管默認API允許網絡堆棧爲客戶端連接選擇本地端口，但客戶端可能會出於各種原因指定固定端口。

• 某些規範（FTP）爲客戶端指定一個固定端口。大多數服務器不關心客戶是否正確。
• 某些客戶端使用固定的端口池從LAN出口到Internet。這允許防火牆規則更完全地鎖定出站流量。
• 源端口有時被用作弱類型的「通過默默無聞的安全性」。

Answer 2

你總是得到一個隨機地址和/或端口時，沒有明確已經在發送之前綁定到一個。

守護進程是通常綁定到固定端口，以便：

• 你可以不必嘗試所有可能的端口或利用二次分解實際上與他們聯繫
（記得SUNRPC端口映射廢話？）
• ，因爲如果TCP套接字未綁定到端口IIRC，則不允許偵聽（）。

是否有客戶端應用程序圍繞使用固定端口？

有些可以像BIND9那樣配置。

用於阻止遠程端口與防火牆？

不，因爲你的同伴可以選擇他的任何端口。阻止他，你會失去一個客戶，可以這麼說。