Wie können Sie das Internet weiterhin nutzen, wenn Sie alle eingehenden Verbindungen blockieren?

Wenn Ihr Internetdienstanbieter oder Ihre Firewall alle eingehenden Verbindungen blockiert, wie können Webserver Ihnen dennoch Daten an Ihren Browser senden? Sie senden die Anfrage (ausgehend) und der Server sendet Daten (eingehend). Wie kann der Webserver reagieren, wenn Sie alle eingehenden Nachrichten blockieren?

Was ist mit Video-Streaming und Multiplayer-Spielen, bei denen UDP verwendet wird? UDP ist verbindungslos, es muss also keine Verbindung hergestellt werden. Wie wird die Firewall oder der ISP damit umgehen?

"Eingehende Blockierung" bedeutet, dass eingehende neue Verbindungen blockiert werden, der eingerichtete Datenverkehr jedoch zulässig ist. Wenn also ausgehende neue Verbindungen zulässig sind, ist die eingehende Hälfte dieser Konversation in Ordnung.

Die Firewall verwaltet dies durch Nachverfolgung des Verbindungsstatus (eine solche Firewall wird häufig als "Stateful Firewall" bezeichnet). Es erkennt das ausgehende TCP-SYN und lässt es zu. Es sieht ein eingehendes SYN / ACK und kann überprüfen, ob es mit dem ausgehenden SYN übereinstimmt, das es gesehen hat, und lässt dies durch und so weiter. Wenn ein Drei-Wege-Handshake zulässig ist (z. B. gemäß den Firewall-Regeln), ist diese Konversation zulässig. Und wenn es das Ende dieser Konversation sieht (FINs oder RST), wird diese Verbindung von der Liste der zuzulassenden Pakete gestrichen.

UDP wird in ähnlicher Weise ausgeführt, obwohl die Firewall sich genügend erinnert, um vorzutäuschen, dass UDP eine Verbindung oder Sitzung hat (was UDP nicht tut).

@gowenfawr hat das High-Level-Bild nach unten. Ich dachte jedoch, ich würde einige Details hinzufügen, wie das "Matching" für das Verbindungs-Tracking durchgeführt wird, da es für den Uneingeweihten wie Zauberei klingen könnte.

Jede TCP-Verbindung hat eine Portnummer von jeder Seite. Wie die meisten Techniker wissen, werden HTTP-Server auf Port 80 ausgeführt. Wenn Ihr Browser eine Verbindung zu einem Webserver herstellt, fordert er das Betriebssystem auf, eine "lokale" Portnummer zu generieren, die wie 29672 zufällig ist und von keinem anderen verwendet wird TCP-Verbindung von diesem Computer (und das Betriebssystem kann dies tun, da es über alle aktiven TCP-Verbindungen Bescheid weiß). Anschließend wird ein erstes TCP-Setup-Paket von der IP-Adresse (IP_YOURS) Ihres Computers und der Portnummer 29672 an die IP-Adresse (IP_WEBSERVER) und die Portnummer 80 des Webservers gesendet. Zu diesem Zeitpunkt sagt die zustandsbehaftete Firewall "Aha, zukünftige Pakete vom IP_WEBSERVER-Port" 80, die zu IP_YOURS Port 29672 gehen, sind keine neuen Verbindungen, sondern Antworten auf eine bestehende Verbindung und müssen zugelassen werden ". Stateful Firewalls pflegen einen Tisch,