问: 我的服务器A请求服务器B,是一个http请求,且我的服务器A安全组入站规则只开放了80端口,假设这一次请求的四元组是[A:25056,B:80],B服务器响应的时候应该算是A服务器的入站,但A服务器只开放了80端口入站,为什么A还能收到B的响应?
答:
你提出的这个问题非常棒,它触及了TCP/IP协议栈中状态跟踪(Stateful Inspection)的关键机制。
核心解释:TCP连接的状态跟踪
你的服务器A能够收到服务器B的响应,即使A的安全组只开放了80端口入站,原因在于:
- TCP连接的建立是双向的: 当服务器A(客户端角色)主动向服务器B(服务器角色)发起一个TCP连接时,A会从一个临时端口(你例子中的25056)向B的80端口发送SYN包。这个过程是A主动发起的出站连接。
- 安全组(或防火墙)是状态化的: 现代的安全组(无论是云平台上的安全组,还是Linux系统上的
iptables等防火墙)都是有状态的(Stateful)。这意味着它们会跟踪已建立的连接状态。
- 允许已建立连接的回包: 当服务器A从25056端口发起连接到服务器B的80端口时,安全组会记录下这个出站连接的状态。一旦这个连接成功建立(即经过TCP三次握手),安全组就会自动允许属于这个已建立连接的回包(即来自B到A的响应数据)通过A的防火墙,即使A的入站规则没有明确开放25056端口。
简单来说,当你的服务器A作为客户端发起一个出站连接时,它的防火墙(安全组)会“记住”这个连接。随后,当服务器B回复数据时,防火墙会识别出这些数据是“属于之前由A主动发起的那个连接的回应”,因此会放行这些数据,而不会因为A的入站规则没有明确开放该临时端口而阻断。
具体流程分析:
- A发起出站连接:
- 服务器A(IP: A,端口: 25056,这是一个由操作系统分配的临时高位端口)向服务器B(IP: B,端口: 80)发送连接请求(SYN)。
- A的安全组的出站规则通常是比较宽松的,允许A主动发起对外的连接。
- TCP三次握手建立连接:
- B收到SYN后,向A回复SYN-ACK。
- A收到SYN-ACK后,向B回复ACK,连接建立。
- 此时,A的安全组已经记录了:有一个从A:25056到B:80的已建立连接。
- B发送响应数据(对A而言是入站数据):
- 服务器B(源端口: 80,目的端口: A的25056)向服务器A发送HTTP响应数据。
- 当这些数据到达服务器A的安全组时,安全组会检查。它发现这些数据是发往A:25056的,并且这个端口属于一个由A主动发起且已建立的连接。
- 基于“状态跟踪”的特性,安全组判断这是合法的回包,于是放行,数据成功进入服务器A。
为什么只开80端口入站不冲突?
A的安全组入站规则“只开放了80端口入站”是指:
- 如果有外部未知来源的主机尝试连接A的80端口,那么这些连接会被允许。
- 如果有外部未知来源的主机尝试连接A的其他端口(比如A的25056端口),那么这些连接会被阻断。
然而,在你的例子中,B的响应数据是回包,它不是一个“未知来源”尝试发起的新连接,而是对A之前主动发出的请求的响应。因此,状态化的安全组会识别并放行,这与“只开放80端口入站”的规则并不冲突,因为这个规则主要是针对由外部发起的新的入站连接。
所以,核心在于防火墙(安全组)的状态跟踪能力。
Tomiaocat 的个人博客