将大端口范围转发到网络内的机器

将大端口范围转发到网络内的机器

我有带公共 IP 地址的路由器。将大端口范围(仅限高端口号 - 超过 50000)转发到网络内的一台计算机会造成什么安全漏洞(如果有的话)。目标计算机上的所有端口大多数时间都处于关闭状态。

答案1

常见的做法是仅转发所需的端口,因为这样可以防止意外安装的应用程序因某种原因监听这些端口,以及可能渗透到您的系统并使用这些端口的恶意软件。也就是说,这实际上是为了以防万一。

如果您知道端口已关闭且将保持关闭状态,那么实际上就不存在真正的安全威胁。

在今天的互联网上,偏执被认为是一种健康的做法,但我们应该知道,它不是仅有的选项。

答案2

您允许的端口越多,随机/恶意软件使用其中一个端口并接受随机“公共”连接的风险就越大。您应该只接受已知服务和应用程序的传入连接(并转发它们)。

根据您的路由器/防火墙,您可能需要查看连接跟踪器(conntrack)。

相关内容