我所说的“直接沟通”
是否需要接收以网关的 IP 地址作为源 IP 地址的数据包,或发送以网关的 IP 地址作为目标 IP 地址的数据包?
(我仍然允许 ICMP 请求回显、回复、没有到主机的路由以及超出时间。)
我当前的设置
我的物理 Linux 服务器位于路由器后面,该路由器负责处理 DHCP(我不在服务器上使用 DHCP。启动时配置静态 IP)、一些(基本)防火墙和 NAT。它尚未上线,因此目前停机不是问题。
我为什么要问
当我在 iptables 中阻止对本地网络地址的访问时,我正要为网关地址添加例外(私有网络地址过滤链中的 -j RETURN 规则),这时我停下来并想知道这是否真的有必要。
我不会从服务器管理路由器,也不希望系统上的任何程序能够做到这一点,或者更改我的本地 IP 或类似的东西,所以如果我正确理解 NAT,禁止往返于该 IP 的流量应该不会破坏任何东西。
但是我对我的网络没有足够的信心,所以我想,在我可能搞砸某些事情之前(特别是一些微妙的事情,比如不太安全但难以察觉的配置更改),我想在这个决定上做一些众包。
解释一下这个问题是否愚蠢
这是我部署的第一个可公开访问的服务器,因此我正在积极尝试养成尽可能多的好习惯,并尽可能少养成坏习惯......
答案1
你永远不需要直接与纯的NAT 网关(即只执行端口/地址重写而不执行其他操作的设备)。
但是,您可能没有其中之一。典型的家用路由器除了提供 NAT、DHCP、DNS 解析外,还可能提供 NTP 服务器、UPnP 打洞和各种其他服务。如果您确定您的服务器不使用其中任何一项(特别是 DNS 解析),则可以设置服务器的防火墙以阻止联系。