Должен ли мой сервер когда-либо напрямую взаимодействовать со шлюзом NAT?

1

Что я имею в виду под «непосредственным общением»

Нужно ли принимать пакеты с IP-адресом шлюза в качестве IP-адреса источника или отправлять пакеты с IP-адресом шлюза в качестве IP-адреса назначения?

(Я бы по-прежнему разрешал ICMP-запрос-эхо, ответ, отсутствие маршрута к хосту и превышение времени.)

Моя текущая настройка

Мой физический сервер Linux находится за маршрутизатором, который обрабатывает DHCP (я не использую это с сервером. Статический IP-адрес, настроенный при загрузке), некоторые (базовые) межсетевые экраны и NAT. Он еще не жив, поэтому в данный момент простои не проблема.

Почему я спрашиваю

Поскольку я блокировал доступ к адресам локальной сети в iptables, я собирался добавить исключения (правила -j RETURN в цепочках фильтрации адресов частной сети) для адреса шлюза, когда я остановился и подумал, действительно ли это необходимо.

Я не администрирую маршрутизатор с сервера, и я не хочу, чтобы какая-либо программа в системе могла это сделать, или изменить свой локальный IP-адрес или что-то в этом духе, поэтому, если я правильно понимаю, NAT правильно запрещает трафик на / с этого IP ничего не должно сломаться.

Но я не достаточно уверен в своей сети, чтобы сказать наверняка, поэтому я подумал, что, прежде чем возможно что-то испортить (особенно что-то неуловимое, такое как менее безопасное, но трудно заметное изменение конфигурации), я решил сделать немного краудсорсинга на решение.

Пояснение, если это глупый вопрос

Это первый общедоступный сервер, который я когда-либо развернул, поэтому я активно пытаюсь сформировать как можно больше полезных привычек и как можно меньше вредных ...

Парфянский выстрел
источник
... После того, как на вопрос дан ответ, и ответ принят, и все, что связано с вопросом, довольно хорошо решено, какой-то идиот переносит это в Суперпользователя? Мой вопрос был не «ли мой рабочий стол нужен доступ к шлюзу?», Он был «ли мой сервер?», И вопрос был специально мотивировано безопасности concerns- вздыхаю ... Что бы ни. Это сайт, на котором люди рекомендуют перемещать вопросы, когда они чувствуют себя превосходно, и это просто так.
Парфянский выстрел

Ответы:

2

Вам никогда не нужно связываться напрямую с чистым NAT-шлюзом (т. Е. С устройством, которое перезаписывает порт / адрес и ничего больше).

Тем не менее, вы, вероятно, не один из них. Типичный домашний маршрутизатор обеспечивает, в дополнение к NAT, DHCP, разрешению DNS, возможно, NTP-сервер, пробивание дырок UPnP и различные другие услуги. Если вы уверены, что ваш сервер не использует ни одного из них (в частности, разрешение DNS), вы можете настроить брандмауэр сервера для блокировки контактов.

отметка
источник
DNS - В настоящее время я ожидаю, что DNS будет нужен относительно редко для таких вещей, как установка обновлений и, возможно, проверка имен хостов подключающихся хостов. В свете этого, как вы думаете, было бы хорошей идеей просто установить основной и дополнительный DNS-серверы по умолчанию на 8.8.8.8 и 8.8.4.4 (или что-то подобное)?
Парфянский выстрел
NTP - я использую . .pool.ntp.org серверы. Так что это, вероятно, не должно быть проблемой.
Парфянский выстрел
UPnP - ... я не уверен. Я уверен, что нет, хотя. И из того, что я читаю, кажется, что именно этого я и хотел бы избежать (пробивая общедоступные дыры в NAT).
Парфянский выстрел
Спасибо, кстати. Я бы не догадался, что это намного больше, чем NAT, DHCP и, возможно, DNS. Угадайте, я должен посмотреть, какие другие услуги он (может быть) предоставляет.
Парфянский выстрел
Для DNS вы можете разместить на сервере кэширующий преобразователь DNS.
Марк