Нет разрешения DNS
Администраторы нашего сервера сказали мне, что на нашем сервере нет разрешений DNS, поскольку они соответствуют строгим правилам PCI DSS для исходящих данных. Я не совсем понимаю это, потому что сервер используется для размещения веб-сайта, к которому все могут получить доступ с URL-адреса, но когда я вхожу на сервер через удаленный рабочий стол, я не могу использовать Интернет с сервера, то есть он может обслуживать данные но не могу отправить исходящие данные. Как это возможно? Как он может иметь доступ к Интернету, отправляя туда и обратно данные http, но не может разрешать имена DNS?
2 ответа
Обычно в этой ситуации брандмауэр настроен на несколько вещей:
Разрешить входящие соединения только через определенные сервисные порты (HTTP и HTTPS).
Разрешить только исходящие соединения, связанные с входящими соединениями (т. Е. Ответ на HTTP-запросы клиентов). Во многих случаях запросы DNS явно блокируются.
Это препятствует тому, чтобы сервер сделал свои собственные соединения с другими IP-адресами, включая предотвращение соединений с DNS-серверами с целью поиска DNS. Это один из способов предотвращения передачи вредоносного кода на сервер от передачи данных в другое место и загрузки других данных. Это также не позволяет администраторам серверов "просматривать веб-страницы" на сервере, что им определенно не следует делать в любом случае.
То, что вы описываете, может быть достигнуто с помощью межсетевого экрана с контролем состояния
Когда поступает входящее TCP-соединение, в заголовке исходного пакета установлен бит SYN. Это указывает на то, что это первый пакет в новом потоке TCP. Теперь, если брандмауэр разрешает это, например, для порта 80, то создается "состояние" и применяется ко всем последующим пакетам в том же потоке. Любые пакеты, соответствующие этому состоянию, будут дополнительно разрешены брандмауэром, который включает в себя ответы, отправляемые с сервера клиенту.
Отслеживание соединений UDP и ICMP немного более размыто, потому что по сути они не имеют соединения. Они не содержат никакой информации о потоке, найденной в сеансе TCP. Но это работает примерно так же.
Имея это в виду, ваши исходящие DNS-запросы отключаются, потому что соединения инициируются изнутри. Принимая во внимание, что HTTP-трафик инициируется извне и разрешен политикой.