perché bloccare il traffico in entrata non blocca la chat o il VOIP

La maggior parte delle comunicazioni al giorno d'oggi viene effettuata tramite server remoti. Quindi i client si connettono a un server centrale e il server gestisce la comunicazione tra i client. Il blocco delle porte di ascolto con un firewall non fermerà questa comunicazione.

Ma alcuni servizi richiedono comunicazioni dirette (peer to peer) per ridurre la latenza e aumentare la larghezza di banda. VoIP e altri servizi possono ancora comunicare senza avere porte locali aperte.

Combinando il modello client-server con il modello P2P, sono stati inventati nuovi modi di stabilire connessioni:

• UDP hole punching is a commonly used technique employed in network address translator (NAT) applications for maintaining User Datagram Protocol (UDP) packet streams that traverse the NAT. NAT traversal techniques are typically required for client-to-client networking applications on the Internet involving hosts connected in private networks, especially in peer-to-peer and Voice over Internet Protocol (VoIP) deployments.

• TCP hole punching is a commonly used NAT traversal technique, for sending 2-way messages between nodes in an Internet computer network. The term "NAT traversal" is a general term for techniques that establish and maintain TCP/IP network and/or TCP connections traversing network-address-translation (NAT) gateways.

• STUN (Session Traversal Utilities for NAT) is a standardized set of methods and a network protocol to allow an end host to discover its public IP address if it is located behind a NAT. It is used to permit NAT traversal for applications of real-time voice, video, messaging, and other interactive IP communications. It is documented in RFC 5389

Skype utilizza la perforatura UDP per aggirare i firewall .

I firewall funzionano generalmente bloccando il traffico non richiesto . Supponiamo che tu visiti una pagina Web (stackexchange.com che ha un indirizzo IP 69.59.197.21 ) con il tuo browser web. Esegui un handshake TCP a tre vie con 69.59.197.21 prima di trasmettere qualsiasi informazione. Questo è il tuo browser Web richiede prima un SYN (SYNchronize) con un numero di sequenza casuale a 32 bit al server web dire (x = 850003392). Il server Web risponde con un ACK SYN (ACKnowledgment) che restituisce il numero di sequenza (incrementato di 1) come ACK (x + 1 = 850003393) insieme al numero di sequenza casuale (y = 4013010515), quindi il client invia indietro un ACK (x + 1, y + 1) per completare l'handshake a tre vie. L'handshake garantisce che sia il web server che il client concordano sui numeri.

Quindi, oltre la connessione TCP stabilita, il tuo browser invia una richiesta HTTP alla porta 80 a 69.59.197.21 da una porta casuale dal tuo computer (ad esempio la porta 35235) che non viene utilizzata al momento. Una porta è solo un numero compreso tra 0 e 65535 (2 ¹⁶ -1) che consente alla scheda ethernet di avere più conversazioni distinte allo stesso tempo; in modo da poter visitare più pagine Web in modo simulatoso e avere più applicazioni Internet aperte; ognuno con una connessione separata. Ogni pacchetto contiene un indirizzo IP e una porta, un indirizzo IP e una porta di destinazione). Il tuo firewall vede che hai appena fatto una richiesta di informazioni da 69.59.197.21:80 e poi permette che l'indirizzo IP 69.59.197.21 invii una risposta HTTP (con la pagina Web HTML, le immagini, ecc.) Al tuo indirizzo IP sulla porta 35235 che il sistema operativo trasferirà al tuo browser web.

È simile per UDP tranne che non c'è un handshake TCP.

Una connessione TCP stabilita funziona utilizzando pacchetti che viaggiano in entrambe le direzioni e quando un firewall "consente solo connessioni in uscita ", in realtà significa che il firewall consente tutti i pacchetti tranne il pacchetto in entrata che tenta di aprire una nuova connessione (ovvero il primo pacchetto di una connessione in entrata ).

VoIP utilizza in genere UDP , non TCP e ha le sue regole. L'equivalente del sistema di blocco TCP sarebbe un firewall che consente i pacchetti UDP in entrata solo quando sono "in risposta" a un pacchetto in uscita precedente (ad esempio un pacchetto in ingresso con indirizzo di origine s e porta di origine p e la porta di destinazione q sul computer locale, consentita dal firewall perché ha visto per la prima volta un pacchetto in uscita con indirizzo di destinazione s e destination port p e source port q ).