1

Что я имею в виду под «непосредственным общением»

Нужно ли когда-либо получать пакеты с IP-адресом шлюза в качестве IP-адреса источника или отправлять пакеты с IP-адресом шлюза в качестве IP-адреса назначения?

(Я бы по-прежнему разрешал ICMP-запрос-эхо, ответ, отсутствие маршрута к хосту и превышение времени)

Моя текущая настройка

Мой физический сервер Linux находится за маршрутизатором, который обрабатывает DHCP (я не использую это с сервером. Статический IP настроен при загрузке), некоторые (базовые) межсетевые экраны и NAT. Он еще не жив, поэтому в данный момент простои не проблема.

Почему я спрашиваю

Поскольку я блокировал доступ к адресам локальной сети в iptables, я собирался добавить исключения (правила -j RETURN в цепочках фильтрации адресов частной сети) для адреса шлюза, когда я остановился и подумал, действительно ли это необходимо.

Я не управляю маршрутизатором с сервера, и я не хочу, чтобы какая-либо программа в системе могла это сделать, или изменить свой локальный IP-адрес или что-то в этом духе, поэтому, если я правильно понимаю, NAT правильно запрещает трафик на / с этого IP ничего не должно сломаться.

Но я не достаточно уверен в своей сети, чтобы сказать наверняка, поэтому я подумал, что, прежде чем возможно что-то испортить (особенно что-то неуловимое, такое как менее безопасное, но трудно заметное изменение конфигурации), я решил сделать немного краудсорсинга на решение.

Пояснение, если это глупый вопрос

Это первый общедоступный сервер, который я когда-либо развернул, поэтому я активно пытаюсь сформировать как можно больше полезных привычек и как можно меньше вредных ...

1 ответ1

2

Вам никогда не нужно связываться напрямую с чистым NAT-шлюзом (т. Е. С устройством, которое перезаписывает порт / адрес и ничего больше).

Тем не менее, вы, вероятно, не один из них. Типичный домашний маршрутизатор обеспечивает, помимо NAT, DHCP, DNS-разрешения, возможно, NTP-сервер, UPnP-дырокол и другие услуги. Если вы уверены, что ваш сервер не использует ни одного из них (в частности, разрешение DNS), вы можете настроить брандмауэр сервера для блокировки контактов.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .