Что я имею в виду под «непосредственным общением»
Нужно ли принимать пакеты с IP-адресом шлюза в качестве IP-адреса источника или отправлять пакеты с IP-адресом шлюза в качестве IP-адреса назначения?
(Я бы по-прежнему разрешал ICMP-запрос-эхо, ответ, отсутствие маршрута к хосту и превышение времени.)
Моя текущая настройка
Мой физический сервер Linux находится за маршрутизатором, который обрабатывает DHCP (я не использую это с сервером. Статический IP-адрес, настроенный при загрузке), некоторые (базовые) межсетевые экраны и NAT. Он еще не жив, поэтому в данный момент простои не проблема.
Почему я спрашиваю
Поскольку я блокировал доступ к адресам локальной сети в iptables, я собирался добавить исключения (правила -j RETURN в цепочках фильтрации адресов частной сети) для адреса шлюза, когда я остановился и подумал, действительно ли это необходимо.
Я не администрирую маршрутизатор с сервера, и я не хочу, чтобы какая-либо программа в системе могла это сделать, или изменить свой локальный IP-адрес или что-то в этом духе, поэтому, если я правильно понимаю, NAT правильно запрещает трафик на / с этого IP ничего не должно сломаться.
Но я не достаточно уверен в своей сети, чтобы сказать наверняка, поэтому я подумал, что, прежде чем возможно что-то испортить (особенно что-то неуловимое, такое как менее безопасное, но трудно заметное изменение конфигурации), я решил сделать немного краудсорсинга на решение.
Пояснение, если это глупый вопрос
Это первый общедоступный сервер, который я когда-либо развернул, поэтому я активно пытаюсь сформировать как можно больше полезных привычек и как можно меньше вредных ...
источник
Ответы:
Вам никогда не нужно связываться напрямую с чистым NAT-шлюзом (т. Е. С устройством, которое перезаписывает порт / адрес и ничего больше).
Тем не менее, вы, вероятно, не один из них. Типичный домашний маршрутизатор обеспечивает, в дополнение к NAT, DHCP, разрешению DNS, возможно, NTP-сервер, пробивание дырок UPnP и различные другие услуги. Если вы уверены, что ваш сервер не использует ни одного из них (в частности, разрешение DNS), вы можете настроить брандмауэр сервера для блокировки контактов.
источник