在 FreeBSD 示例ipfilter设置中,我可以看到来自的请求
192.168.0.0/16被阻止(参考 RFC1918)
这似乎对某些私人网络对讲机造成了滋扰,因此我将其注释掉。
然后我想要允许来自本地主机的 ping 操作;我通过允许来自 的传入 ping 操作来实现
192.168.0.0/24。
这样做是否存在安全风险?此符号基本上也包括路由器,但据我了解,它不允许来自 WAN 端的源地址。
答案1
这似乎对一些私人网络对讲机造成了滋扰,所以我把它注释掉了
是也不是。对于内部机器来说,这会造成内部流量的困扰。
按照规定,这不会对外部端口造成任何干扰。根据定义,这些是私有 IP 地址。这意味着它们不应该存在,也不应该从公司外部与我的服务器通信。就是这样。因此,阻止它们是最佳实践。很多愚蠢的提供商都没有阻止它们。我经历过,也见过这种情况。任何外部网关都应该阻止 3 个内部 IP 地址块。
我只能假设 FreeBSD 的“默认”假设服务器位于互联网/数据中心。除了需要调整之外,它还应拒绝来自私有 IP 地址的可能访问。