我的服务器是否需要直接与 NAT 网关通信?

我的服务器是否需要直接与 NAT 网关通信?

我所说的“直接沟通”

是否需要接收以网关的 IP 地址作为源 IP 地址的数据包,或发送以网关的 IP 地址作为目标 IP 地址的数据包?

(我仍然允许 ICMP 请求回显、回复、没有到主机的路由以及超出时间。)

我当前的设置

我的物理 Linux 服务器位于路由器后面,该路由器负责处理 DHCP(我不在服务器上使用 DHCP。启动时配置静态 IP)、一些(基本)防火墙和 NAT。它尚未上线,因此目前停机不是问题。

我为什么要问

当我在 iptables 中阻止对本地网络地址的访问时,我正要为网关地址添加例外(私有网络地址过滤链中的 -j RETURN 规则),这时我停下来并想知道这是否真的有必要。

我不会从服务器管理路由器,也不希望系统上的任何程序能够做到这一点,或者更改我的本地 IP 或类似的东西,所以如果我正确理解 NAT,禁止往返于该 IP 的流量应该不会破坏任何东西。

但是我对我的网络没有足够的信心,所以我想,在我可能搞砸某些事情之前(特别是一些微妙的事情,比如不太安全但难以察觉的配置更改),我想在这个决定上做一些众包。

解释一下这个问题是否愚蠢

这是我部署的第一个可公开访问的服务器,因此我正在积极尝试养成尽可能多的好习惯,并尽可能少养成坏习惯......

答案1

你永远不需要直接与纯的NAT 网关(即只执行端口/地址重写而不执行其他操作的设备)。

但是,您可能没有其中之一。典型的家用路由器除了提供 NAT、DHCP、DNS 解析外,还可能提供 NTP 服务器、UPnP 打洞和各种其他服务。如果您确定您的服务器不使用其中任何一项(特别是 DNS 解析),则可以设置服务器的防火墙以阻止联系。

相关内容