J'ai vu de nombreuses ressources expliquer comment pour configurer le pare-feu d'un serveur pour autoriser le trafic entrant et sortant sur les ports HTTP standard (80
et 443
), mais je n'arrive pas à comprendre pourquoi J'aurais besoin de l'un ou l'autre. Dois-je débloquer les deux pour qu'un site Web "normal" fonctionne? Pour que les téléchargements de fichiers fonctionnent? Y a-t-il des situations où il serait souhaitable de débloquer l'un et de laisser l'autre bloqué?
Désolé si c'est une question de base, mais je n'ai pas pu la trouver expliquée nulle part (je ne suis pas non plus anglophone natif). Je sais que dans un site Web "normal", le client est toujours celui qui lance une demande, donc je suppose qu'un serveur Web doit accepter le trafic entrant sur ces ports, et mon bon sens me dit que le serveur est autorisé à envoyer une réponse sans débloquer quoi que ce soit d'autre (sinon cela n'aurait pas de sens d'avoir deux types de règles). Est-ce exact?
Mais qu'est-ce qu'un trafic web (service) sortant, et quelle serait son utilisation? AFAIK si le serveur voulait établir une connexion avec une autre machine, le port spécifique qui importe est celui à l'autre extrémité (c'est-à-dire port de destination serait 80
), de son côté n'importe quel port libre pourrait être utilisé (le port source serait aléatoire). Je peux ouvrir des requêtes HTTP depuis mon serveur (en utilisant wget
par exemple) sans débloquer quoi que ce soit. Je suppose donc que mes concepts "entrant" et "sortant" sont en quelque sorte faux.
"Entrant" et "sortant" sont du point de vue de la machine en question.
"Entrant" fait référence aux paquets qui proviennent ailleurs et arrivent à la machine, tandis que "sortant" fait référence aux paquets qui proviennent de la machine et arrivent ailleurs.
Si vous vous référez à votre serveur Web, il accepte principalement les connexions entrantes à son service Web et établit seulement occasionnellement (ou peut-être jamais) les connexions sortantes.
Si vous vous référez à votre client Web, il établit principalement des connexions sortantes vers d'autres services et n'accepte qu'occasionnellement (ou peut-être jamais) les connexions entrantes.
Clair comme de la boue maintenant?
Dans votre cas, vous n'avez qu'à laisser les demandes entrantes au port 80.
Lorsqu'une connexion est établie, le pare-feu laisse automatiquement sortir les paquets vers le port du client. Vous n'avez pas besoin de créer de règles pour cela car le pare-feu le sait.
Sans aucun contexte sur ce que signifie le texte particulier que vous lisez quand il fait référence au trafic de "service Web sortant", je vais adopter l'approche la plus simple dans ma réponse:
Vous avez un pare-feu à l'entrée/sortie de votre réseau.
Le pare-feu est entièrement verrouillé et n'autorise AUCUN trafic entrant ou sortant.
Pour que vos clients internes parcourent des sites Web externes, vous devez configurer une règle de "service Web sortant" qui leur permette de se connecter auxdits sites Web externes.
Dans les termes les plus simples, la règle se lirait comme suit:
N'IMPORTE QUEL hôte interne vers N'IMPORTE QUEL hôte externe où la destination = TCP Port 80 puis PERMETTRE.