Port Lokalny, to ten port na moim komputerze, np. przegłądarka łączy się na różnych portach

Port Zdalny, to port na którym strony(Severy) nasłuchują połączeń np. strony www to przeważnie port 80

I teraz Pytanie, jeśli Admin blokuje porty to on blokuje porty lokalne czy zdalne. Jeśli chciałby zablokować mi przegłądarkę to blokuje moje porty(te lokalne), jakiś przedział 1000 do 1200, czy on blokuje porty zdalne w tym wypadku jeden port 80.

Jak to jest z tymi portami, ?? , admin może zablokować wysyłanie danych na kompkretny port.

Jeżeli jesteś podłączony do jakiejś lokalnej sieci komputerowej, to administrator tejże sieci może zablokować wszelkie pakiety przychodzące do Ciebie (obojętnie czy o ten pakiet skierowany do Twojej przeglądarki internetowej, Twojego programu pocztowego i etc.) lub też może zablokować wszelkie pakiety wychodzące od Ciebie. Może również blokować łączenie się z określonymi stronami www (wybranymi url’ami). By zablokować Ci przeglądarkę wcale nie musi blokować Ci portów.

Poczytaj o filtracji ruchu w sieciach.

Np.

http://216.239.59.104/search?q=cache:sq … =firefox-a

A jeśli np. Admin Forwarduje porty, To te zkórymi się łącze(Zdalne) czy te lokalne.

Tylko lokalne

aha, czy admin nie może zablokować zdalnych portów, bo te ustala server ??

Ale Administrator zarządza serwerem i może narzucić na serwer odpowiednie restrykcje i wówczas serwer zablokuje Ci odpowiednie porty.

Może inaczej. Admin zazwyczaj blokuje ruch na portach.

Różne usługi nasłuchują na różnych portach np:

TCP 192.168.0.1:22 0.0.0.0:0 NASŁUCHIWANIE

 TCP 192.168.0.1:80 0.0.0.0:0 NASŁUCHIWANIE

Widać że komputer o adresie 192.168.0.1 nasłuchuje na portach 22 i 80 czyli przyjmuje wszystkie pakiety adresowane docelowym portem 22 i jego adresem IP. Na porcie 22 działa ssh a na 80 - serwer www.

Podobnie jeżeli przychodzi do ciebie pakiet z internetu, jest on adresowany na konkretny adres IP i trafia na konkretny port danej usługi, którą twój komputer realizuje.

przykład: Idzie do ciebie pakiet danych ssh - wychodzi z portu x nadawcy i trafia na port 22 twojego komputera.

Jeżeli wychodzi od ciebie pakiet - jest on adresowany również na konkretny adres IP i trafia na konkretny port danej usługi.

przykład: wychodzi żądanie www - z portu x twojego i trafia na port 80 lub 8080 serwera, na którym dana strona się znajduje.

Administrator za pomocą prostych reguł może ten ruch blokować w poniższy sposób: (poglądowo)

jeżeli pakiet przychodzący z jakiegokolwiek adresu IP (spoza sieci) ma trafić na port docelowy 22 - odrzuć

jeżeli pakiet wychodzący z jakiegokolwiek adresu IP (z wewnątrz sieci) ma trafić na port docelowy 80 lub 8080 - odrzuć

i po sprawie: ktoś się nie dostanie do ciebie przez ssh a ty nie zobaczysz żadnej strony.

Oczywiście powyższy przykład jest tylko poglądowy - więc aby to wszystko miało ręce i nogi muszą być spełnione inne warunki, ale tak to mniej więcej wygląda.

Dodatkowo admin może zablokować ruch na danych portach :

przykład: Odrzuć każdy pakiet wychodzący i przychodzący na docelowy port 22.

Wtedy nikt z wewnątrz sieci nie połączy się z zewnętrznym kompem po ssh - gdyż w nagłówku pakietu jest zapisane, że ten pakiet ma trafić docelowo na port 22. Mimo tego, że od ciebie wychodzi z portu zupełnie innego nie dotrze do adresata.

Podobnie nikt z zewnątrz sieci nie połączy się przez ssh z komputerem twoim, gdyż idący do ciebie pakiet ma zapisany port docelowy 22, mimo iż od nadawcy wychodzi z zupełnie innego.

uff, koniec

w 99% przypadkach blokuje się porty określone przez Ciebie jako zdalne, ponieważ kiedy komputer-klient nawiązuje połączenie, to wybiera on po swojej stronie pierwszy nieużyty jeszcze port powyżej portu 1024. jak mu się skończą porty (jest ich 64k) to zaczyna od początku. z tego względu zablokowanie konkretnej usługi polega na ustaleniu na jakim porcie ta usługa nasłuchuje.

jeśli w sieci jest używany NAT, czyli cała sieć występuje w Internecie pod jednym adresem IP, blokowanie połączeń przychodzących nie ma sensu, bo komputery wewnątrz sieci i tak są niewidoczne w Internecie. żeby umożliwić połączenie z zewnątrz komputerowi w sieci lokalnej stosuje się wtedy przekierowanie portów (forwarding).

natomiast coraz częściej stosuje się filtrację nie tylko na poziomie trzeciej warstwy (adresy+porty), ale na poziomie warstwy siódmej (warstwy aplikacji). router przegląda pakiety przechodzące przez niego i podejmuje decyzję co zrobić z pakietem na podstawie zawartości tego pakietu. pomaga to blokować/ograniczać np ruch p2p ukrywający się na portach używanych normalnie przez Powszechnie Znane Usługi, np emule na porcie 22.

Proszę nazwać temat konkretnie.

Tak czy inaczej nikt nie ma prawa blokować ci dostępu do zasobu internetu w jakikolwiek sposób, chyba że zapisano inaczej w umowie.

Jest to łamanie praw konsumenta i uniemożliwianie korzystania z usług w należytym i pełnoprawnym sposobie do ich dostępu.

Gdy popularnie mówi się, że przegłądarka internetowa działa na porcie 80, to ona tak naprawdę wysyła dane z losowych portów, ale serwisy www nasłuchują na porcie 80. Tak?

OPERA.EXE TCP Strumień wychodzący 127.0.0.1:51035 217.74.65.27:80

Na podstawie tego przykładu:

Komputer o Adresie “217.74.65.27” nasłuchuje na porcie 80, Włączam Opere i ona na Losowo wybranym porcie, (po 1024) wysyła dane na “217.74.65.27” na port 80.

Potem Adres “217.74.65.27” z Portu 80 (Czy innego) Wysyła mi pakiety na mój ip na dowolny port (i właśnie dowolny czy konkretny ?)

Dobrze to Zrozumiałem.

Ja mam sieć, 15 komputerów z jednym zewnętrzym adresem IP.

I to znaczy, że admin może dowolnie blokować porty, tworzyć dowolne reguły.

I Ostatnie pytanie, Porty Zdalne to Porty Innych (Zewnętnych) Serwerów i nie mam na nie wpływu, tak? Jeżeli Zablokuje (Przykładowo) Wszytskie porty Lokalne to strace całkowicie dostęp do internetu ?

Przepraszam, że tak dużo, ale chce to dobrze zrozumieć. Pozdrawiam

PS. Jeszcze tak dla sprecyzowania, Komputer na danym porcie może nasłuchiwać lub wysyłać dane, Może wysyłać i odbierać pakiety na jednym porcie?

czy losowo, czy kolejno, to zależy od systemu operacyjnego, w ms windows jest to kolejny port.

serwer odpowiada na ten sam port, z którego dostał zapytanie. te cztery rzeczy jednoznacznie identyfikują “połączenie” - adres i port komputera lokalnego oraz adres i port komputera zdalnego. “połączenie” w cudzysłowiu, bo ze względu na pakietowy charakter przesyłania danych nie da się tego nazwać dosłownie połączeniem. teoretycznie każdy pakiet może iść inną drogą, ważne jest żeby doszły w tej samej kolejności jak zostały wysłane (lub w czasie pozwalającym na ich “posortowanie”).

jest to ważny aspekt, bo w protokole udp nie istnieje pojęcie “połączenia”.

każdy administrator może dowolnie kształtować politykę przesyłania danych przez router, którym administruje.

nie masz wpływu na nic czym nie administrujesz.

zależy co im zablokujesz. jeśli zablokujesz cały “input”, to komputer nie będzie w stanie nic odebrać. ani zapytań do niego, ani odpowiedzi na jego zapytania.

możesz też zablokować tylko “input” nowych połączeń, a zezwolić na odbieranie odpowiedzi na wysłane przez siebie zapytania. wtedy masz tzw connection tracking i stateful firewall.

komputer jako host ma 64k portów. pojedynczy port może być jednorazowo używany do nasłuchiwania przez pojedynczy program=daemon=serwer. stworzony jest wtedy tzw. socket - gniazdo. kiedy przychodzi “zapytanie” (pakiet z flagą SYN) na port na którym coś nasłuchuje (do gniazda), to wtedy jest definiowane połączenie: ip_serwera:port_serwera<->ip_klienta:port_klienta, a program się “klonuje” do postaci obsługującej połączenia zamiast gniazd oraz żeby pozwolić na dalsze przyjmowanie połączeń na gnieździe.

w jednym czasie może być dowolnie dużo połączeń na jednym ip_serwera:port_serwera, pod warunkiem że są one jednoznacznie zdefiniowane, czyli różnią się przynajmniej port_klienta oraz jeśli program pozwala na utworzenie ich w określonej ilości (w praktyce każdy daemon ma limit jednoczesnych wystąpień, żeby ograniczyć ryzyko DoS).

jeśli serwer www nie pozwala na “keepalive” połączeń, to w ten sposób są pobierane przez przeglądarkę strony internetowe: dla każdego pliku jest zestawiane pojedyncze połączenie. wszystkie mogą być zestawione w jednym czasie.

przepraszam za tyle angielskich nazw, ale nie potrafię wymyślić nic polskiego co by brzmiało tak jak trzeba. poza tym będzie Ci łatwiej szukać dalej danych jeśli będziesz znał właściwe nazwy tych rzeczy.

Dziękuje Bardzo wszystkim za pomoc.