疑問 - 遠端連接埠和本機連接埠差別

[i71117]

--------------------
閱讀本主題的最佳解答
--------------------


我在Symantec Endpoint Protection上的防火牆設定上，

有看到遠端通訊埠和本機通訊埠，但不知道兩者的差別是什麼呢？

希望有高手指點一下，非常感激。

[古里特]

沒有使用過賽門鐵克的產品，不太清楚這個介面
但從遠端通訊埠和本機通訊埠這個字詞來看

一般都是說
要建立一個連線，遠端一個IP位置會透過一個(遠端通訊埠)port
來和你這台電腦某一個(本機通訊埠)port開啟連結關係
例如:FTP走的是port 21 網頁走的是port 80

[i71117]

引用:

作者: 古里特

沒有使用過賽門鐵克的產品，不太清楚這個介面
但從遠端通訊埠和本機通訊埠這個字詞來看

一般都是說
要建立一個連線，遠端一個IP位置會透過一個(遠端通訊埠)port
來和你這台電腦某一個(本機通訊埠)port開啟連結關係
例如:FTP走的是port 21 網頁走的是port 80

若如您所說，「遠端通訊埠」和「本機通訊埠」都有 [21 port] 和
「80 port」，那應該是要開 [遠端通訊埠的 21 port、80 port」
還是「本機通訊埠 21 port、80 port」，
而都開一樣的 port 兩者的差異又在哪裡呢？

[pedrowong]

雖然我沒用過該產品，不過大致可以猜出防火牆要問你，到底是以遠端的port或者是本機的port 做為防護的標的等類似問題。
這完全要看你防護的策略，是正面表列還是負面表列。
例如希望只允許 http,email,ftp進來，其他關掉。就是本機port 21,23,80打開，其他一律
阻斷。依此類推....

[i71117]

引用:

作者: pedrowong

雖然我沒用過該產品，不過大致可以猜出防火牆要問你，到底是以遠端的port或者是本機的port 做為防護的標的等類似問題。
這完全要看你防護的策略，是正面表列還是負面表列。
例如希望只允許 http,email,ftp進來，其他關掉。就是本機port 21,23,80打開，其他一律
阻斷。依此類推....

我想應該也是如您所說一般

但遠端的port或本機的port差別在哪呢？

什麼時候開遠端的port或本機的port？

這是我不明白的地方？

謝謝

[danny_2]

引用:

作者: i71117

我想應該也是如您所說一般

但遠端的port

Local Address//本地位址//

引用:

作者: i71117

本機的port差別在哪呢？

Foreign Address//遠端位址//

※詳細請參考命令提示字元的【netstat】※

●本地位址：預設是需要保留137、138、139 port，保持網路連線。

○遠端位址：http=80，ftp=21，pop3=110，smtp=25
(以上連接埠僅供參考，實際連線情形以網路連線軟體為準)

[pedrowong]

引用:

作者: i71117

我想應該也是如您所說一般

但遠端的port或本機的port差別在哪呢？

什麼時候開遠端的port或本機的port？

這是我不明白的地方？

謝謝

在網路通訊上，並未規定，那一個port必需跟遠端相對應的port相連。
舉例來說：你希望開一個網站，又不希望駭客光臨，所以將網站的port
由標準port 80 移到 8080。 如此，每次客戶使用瀏覽器光臨你的網站
時，必需特別指定port 8080，如： http://xx.xx.xx.xx:8080。此例
瀏覽器會在本機打開port 80 ，企圖跟遠端IP為 xx.xx.xx.xx 的 port
8080 溝通。

由於花樣很多，因此防火牆設定方面，也必需因應而發展出可以防堵
遠端及進端之各種手段，來滿足各種場合的需求。

[i71117]

引用:

作者: pedrowong

在網路通訊上，並未規定，那一個port必需跟遠端相對應的port相連。
舉例來說：你希望開一個網站，又不希望駭客光臨，所以將網站的port
由標準port 80 移到 8080。 如此，每次客戶使用瀏覽器光臨你的網站
時，必需特別指定port 8080，如： http://xx.xx.xx.xx:8080。此例
瀏覽器會在本機打開port 80 ，企圖跟遠端IP為 xx.xx.xx.xx 的 port
8080 溝通。

由於花樣很多，因此防火牆設定方面，也必需因應而發展出可以防堵
遠端及進端之各種手段，來滿足各種場合的需求。

如您所言遠端是和本機做對應囉.....

也就是說如果架一個網站遠端開 80 port

本機開 8080 port 如此設定就會不通囉.....

是這樣嗎？

[pedrowong]

引用:

作者: i71117

如您所言遠端是和本機做對應囉.....

也就是說如果架一個網站遠端開 80 port

本機開 8080 port 如此設定就會不通囉.....

是這樣嗎？

你好像沒開竅，問題在網路花樣很多，你到底想讓甚麼通過，
阻斷那些訊息。

[pedrowong]

引用:

作者: i71117

如您所言遠端是和本機做對應囉.....

也就是說如果架一個網站遠端開 80 port

本機開 8080 port 如此設定就會不通囉.....

是這樣嗎？

一天沒回覆，大慨不知道要說甚麼。
本案例只打開本機 port 8080 則外界只能瀏覽你的網站，其他
都不允許，可是駭客因為遠端沒有設限，可以用其他工具軟體，
來攻擊你的 port 8080 所曝露的弱點，所以最好再設定遠端只允許
port 80. 以降低被攻擊的風險。

[rezard]

引用:

作者: i71117

如您所言遠端是和本機做對應囉.....

也就是說如果架一個網站遠端開 80 port

本機開 8080 port 如此設定就會不通囉.....

是這樣嗎？

80或8080都是指"伺服器"的port

如果樓主的機器是伺服端，那麼本地端的port就是指80或8080...等

如果樓主的機器是用戶端，那麼遠端的port則是指80或8080...等

本地或遠端看的是相對位置，在看相對位置之前，若無法理解

「一個符合TCP/IP通訊協定組的連線」伺服端與用戶端是如何溝通運作

就無法正確設定防火牆的規則

[Living]

簡單來說PORT就是通訊協定
兩台電腦透過網路要連線(例如你的家用電腦要連上YAHOO網站)
除了彼此要知道IP之外, 雙方必須要有相同的PORT才能讓訊息進出

PORT並非單指進或單指出, 它可能是進可能是出也可能是又進又出(就像門, 有只能進, 有只能出, 也有的是可進可出)

IP像家裡的地址, 讓外面電腦可以連到你家門口
PORT就像進出的門或窗, 告訴對方必須要從指定的門或窗子進出你的電腦

[i71117]

引用:

作者: pedrowong

一天沒回覆，大慨不知道要說甚麼。
本案例只打開本機 port 8080 則外界只能瀏覽你的網站，其他
都不允許，可是駭客因為遠端沒有設限，可以用其他工具軟體，
來攻擊你的 port 8080 所曝露的弱點，所以最好再設定遠端只允許
port 80. 以降低被攻擊的風險。

原來如此阿.....
我大致上明白啦.....
感激您費心教導.....

[pedrowong]

引用:

作者: Living

簡單來說PORT就是通訊協定
兩台電腦透過網路要連線(例如你的家用電腦要連上YAHOO網站)
除了彼此要知道IP之外, 雙方必須要有相同的PORT才能讓訊息進出

PORT並非單指進或單指出, 它可能是進可能是出也可能是又進又出(就像門, 有只能進, 有只能出, 也有的是可進可出)

IP像家裡的地址, 讓外面電腦可以連到你家門口
PORT就像進出的門或窗, 告訴對方必須要從指定的門或窗子進出你的電腦

"簡單來說PORT就是通訊協定"這一句話有語柄，一般來說，那一個port被保留
做為那些用途，是大家的一種默契，但是這不是規定。為了被避免駭客攻擊，實務
上，經常故意不使用標準設定。講白一點就是要駭客猜不透，這個port 到底是
做甚麼用途。

如果IP當成家裡的地址,那麼port就當成住在裡面的人，寄信除了地址外，要找誰
也要說清楚，否則查無此人，會被退件。