「直接コミュニケーションする」とはどういう意味か
ゲートウェイの IP アドレスを送信元 IP アドレスとしてパケットを受信したり、ゲートウェイの IP アドレスを宛先 IP アドレスとしてパケットを送信したりする必要があることはありますか?
(ICMP 要求エコー、応答、ホストへのルートなし、および時間超過は引き続き許可します。)
現在の設定
私の物理的な Linux サーバーは、DHCP (サーバーでは使用していません。起動時に静的 IP が設定されます)、いくつかの (基本的な) ファイアウォール、および NAT を処理するルーターの背後にあります。まだ稼働していないため、現時点ではダウンタイムは問題ではありません。
なぜ私が尋ねるのか
iptables でローカル ネットワーク アドレスへのアクセスをブロックしていたときに、ゲートウェイ アドレスに例外 (プライベート ネットワーク アドレス フィルタリング チェーンの -j RETURN ルール) を設定しようとしたところ、実際にそれが必要なのかどうか疑問に思い、立ち止まりました。
私はサーバーからルーターを管理していませんし、システム上のプログラムでルーターを管理したり、ローカル IP を変更したりすることも望んでいません。したがって、NAT を正しく理解していれば、その IP との間のトラフィックを禁止しても何も問題はありません。
しかし、ネットワークについては確信が持てないので、何かを台無しにしてしまう前に (特に、安全性は低いが気付きにくい構成変更のような微妙な問題)、決定について少しクラウドソーシングしてみようと思いました。
これが愚かな質問であるならば説明してください
これは私が初めて導入したパブリックアクセス可能なサーバーなので、できるだけ多くの良い習慣を身につけ、悪い習慣をできるだけ少なくするように積極的に取り組んでいます...
答え1
直接コミュニケーションを取る必要は決してありません純粋なNAT ゲートウェイ (つまり、ポート/アドレスの書き換えのみを行うデバイス)。
しかし、おそらくそのようなものをお持ちではないでしょう。一般的な家庭用ルーターは、NAT、DHCP、DNS 解決に加えて、NTP サーバー、UPnP ホールパンチング、およびその他のさまざまなサービスも提供します。サーバーがそれらのいずれも使用していないことが確実な場合 (特に DNS 解決)、サーバーのファイアウォールを設定して接続をブロックできます。