Как можно поддерживать VPN-подключение после закрытия порта?

рассмотрим VPN-сервер с его портами, закрытыми с помощью порта стука, чтобы открыть порты только при успешной последовательности стука.

когда закрытый порт открывается с помощью стука порта, а затем устанавливается VPN-соединение, почему VPN-соединение может оставаться подключенным после автоматического закрытия порта через заданное время?

Это то, что я видел в howtogeek.com статья о сбивании портов без объяснения причин, так что, возможно, я просто неправильно это понял.

насколько я понимаю, закрытые порты означают, что они не прослушивают соединения и не будут поддерживать установленные соединения. Так что же происходит, когда вы временно открываете порт на создать соединение, а затем автоматически закрыть его при сохранении уже установленной сессии VPN подключен?

действительно ли соединение сохраняется через закрытый порт или есть что-то еще происходит с учетом протокола VPN, где соединение происходит в другом месте? И будет ли такая ситуация с поддержанием соединений после закрытия порта возможна с чем-то вроде SSH?

18
задан chepurko
03.04.2023 1:31 Количество просмотров материала 3063
Распечатать страницу

1 ответ

теперь обычно используется брандмауэр statefull. Это позволяет фильтровать новое (первое) соединение и установленный (принадлежащий известным соединениям) пакет отдельно.

сначала просто разрешить любое исходящее соединение (с двунаправленной передачей пакетов данных), в то время как входящие соединения по-прежнему отключены.

Так если порт открытый для нового соединения длиной достаточно для того чтобы установить соединение. Далее это соединение сохраняет рабочие правила для пакетов со статусом = "установлено".

пример простой современный межсетевой экран: https://wiki.archlinux.org/index.php/simple_stateful_firewall#Example_iptables.rules_file

/etc/iptables/iptables.rules

# Generated by iptables-save v1.4.18 on Sun Mar 17 14:21:12 2013
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
:TCP - [0:0]
:UDP - [0:0]
-A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -m conntrack --ctstate INVALID -j DROP
-A INPUT -p icmp -m icmp --icmp-type 8 -m conntrack --ctstate NEW -j ACCEPT
-A INPUT -p udp -m conntrack --ctstate NEW -j UDP
-A INPUT -p tcp --tcp-flags FIN,SYN,RST,ACK SYN -m conntrack --ctstate NEW -j TCP
-A INPUT -p udp -j REJECT --reject-with icmp-port-unreachable
-A INPUT -p tcp -j REJECT --reject-with tcp-reset
-A INPUT -j REJECT --reject-with icmp-proto-unreachable
COMMIT
# Completed on Sun Mar 17 14:21:12 2013
1
отвечен Mikhail Moskalev 2023-04-04 09:19

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх