Я пытаюсь настроить сервер прослушивания в интрасети на 80, который не может подключиться к Интернету (входящий или исходящий). Я рассмотрел исходящую часть, используя редактирование таблицы маршрутизации, но я не уверен, что это помешает серверу принимать пакеты, если злоумышленник узнает IP-адрес моего маршрутизатора. Вместо брандмауэра я бы хотел более низкоуровневое решение входящей проблемы.
1 ответ
Без брандмауэра или изменений в таблице маршрутизации на маршрутизаторе вы не сможете предотвратить доставку пакетов. Тем не менее, TCP рукопожатие не будет завершено, так что вы в полной безопасности.
В зависимости от вашего веб-сервера, вы также можете запретить ему общаться с IP-адресами, которые он не знает - не можем посоветовать, как это сделать, если мы не знаем http-сервер. Это также действует после того, как машина получила пакет, поэтому она менее безопасна, чем при использовании брандмауэра.
Тем не менее, я говорю вам, что делать такие вещи - ошибка. Это усложняет жизнь для всех, кому в будущем может потребоваться работа над системой (и делает обновления ОС и исправления безопасности кошмаром) - использование локального для сервера брандмауэра - это стандартный, проверенный подход.