TCP发送端口如何选择？

lkjxing

我写了一个程序，使用TCP传输文件，发送端选择了一个随机的端口（本机的端口）建立连接然后发送文件。\r\n我的问题是如果本机防火墙打开了，防火墙会不会阻挡这个连接出去？\r\n如果阻挡了，防火墙该如何设置？\r\n还有啊这个发送端口是否除了发送数据外还接收ACK，FIN等报文啊？如果本机防火墙没开这个端口，应答报文还能回来么？\r\n\r\n如果我固定一个发送端口（本机的端口）的话，该怎样设计才能并发发送文件？求提供个思路。\r\n\r\n另外当前的传输软件发送端口是随机的普遍还是固定的多啊？

xinglp

你想多了,直接试试看呢. \r\n防火墙对本地发起连接占用的端口限制不大,

lkjxing

恩，我试过了，随机是可以（只用了本机的防火墙，不是硬件防火墙）。但是被总工鄙视了，说应该固定的，否则不安全。。。。。

llxxtnt

如果你的发起端在防火墙内，不用担心防火墙，即使硬件防火墙也不用担心，防火墙没那么傻\r\n除非是接收端在防火墙内，才要关心防火墙问题\r\n\r\n另外，随机port哪里不安全了，现在大量使用的http client，ftp client，telnet client等等，都是随机port，怎么就不安全了？

ssffzz1

不会吧。你总工这还鄙视啊，搞没搞过IP数据啊。\r\n\r\n你看标准的网络程序那个源端口不是自动选择的。没问题的防火墙有相应的策略。

lkjxing

顶楼上，希望有人能从TCP实现原理或防火墙实现原理上给我解释下，这个防火墙后的随机端口是如何收到ACK的？（貌似是因为基于状态的防火墙？？）

llxxtnt

你防火墙的port本来是关闭的，这个关闭是单向的，只能出，不能进\r\n现在，你从某个port发出去一个包，就把这个port打开了，可以出，也可以进了\r\n但是这个进是有条件的，不是任何ip任何port来的包都可以进，而是只有某个特定ip的特定port来的包才能进，并且他还必须是发向你的\r\n举个例子说，你从20000 port向192.168.2.100:80发了一个syn包，那么就把防火墙的20000 port打开了，但是他只允许来自于192.168.2.100:80，dest ip是你的包进入\r\n当你们的通信结束，发fin包，防火墙关闭port

llxxtnt

我大概猜到你们总工的意思了\r\n他的意思是说，你们的防火墙不仅仅把进来的方向关掉，出去的方向都是要关掉的，只留一个特定的port，那么在这种情况下，你就必须要固定port了\r\n这有在非常严格的环境中才采用这种方法的，一般没有必要把出去的方向都关掉

kentchoi

国内的税务行业好像整套系统的原端口是固定的，\r\n所以这里的防火墙也要求，能够对源端口进行过滤。。。

ssffzz1

感觉固定源端口基本没啥大意义。不过要固定就固定吧。看起来安全些。