Что я имею в виду под «непосредственным общением»
Нужно ли когда-либо получать пакеты с IP-адресом шлюза в качестве IP-адреса источника или отправлять пакеты с IP-адресом шлюза в качестве IP-адреса назначения?
(Я бы по-прежнему разрешал ICMP-запрос-эхо, ответ, отсутствие маршрута к хосту и превышение времени)
Моя текущая настройка
Мой физический сервер Linux находится за маршрутизатором, который обрабатывает DHCP (я не использую это с сервером. Статический IP настроен при загрузке), некоторые (базовые) межсетевые экраны и NAT. Он еще не жив, поэтому в данный момент простои не проблема.
Почему я спрашиваю
Поскольку я блокировал доступ к адресам локальной сети в iptables, я собирался добавить исключения (правила -j RETURN в цепочках фильтрации адресов частной сети) для адреса шлюза, когда я остановился и подумал, действительно ли это необходимо.
Я не управляю маршрутизатором с сервера, и я не хочу, чтобы какая-либо программа в системе могла это сделать, или изменить свой локальный IP-адрес или что-то в этом духе, поэтому, если я правильно понимаю, NAT правильно запрещает трафик на / с этого IP ничего не должно сломаться.
Но я не достаточно уверен в своей сети, чтобы сказать наверняка, поэтому я подумал, что, прежде чем возможно что-то испортить (особенно что-то неуловимое, такое как менее безопасное, но трудно заметное изменение конфигурации), я решил сделать немного краудсорсинга на решение.
Пояснение, если это глупый вопрос
Это первый общедоступный сервер, который я когда-либо развернул, поэтому я активно пытаюсь сформировать как можно больше полезных привычек и как можно меньше вредных ...