Was ich mit „direkt kommunizieren“ meine
Müssen jemals Pakete mit der IP-Adresse des Gateways als Quell-IP-Adresse empfangen oder Pakete mit der IP-Adresse des Gateways als Ziel-IP-Adresse gesendet werden?
(Ich würde weiterhin ICMP-Anforderungsecho, Antworten, keine Route zum Host und Zeitüberschreitung zulassen.)
Mein aktuelles Setup
Mein physischer Linux-Server befindet sich hinter einem Router, der DHCP (das verwende ich nicht mit dem Server. Statische IP wird beim Booten konfiguriert), einige (grundlegende) Firewalls und NAT verwaltet. Er ist noch nicht live, daher sind Ausfallzeiten im Moment kein Problem.
Warum ich frage
Als ich in iptables den Zugriff auf lokale Netzwerkadressen blockierte, wollte ich gerade Ausnahmen (-j RETURN-Regeln in den Filterketten für private Netzwerkadressen) für die Gateway-Adresse einfügen, als ich innehielt und mich fragte, ob das wirklich nötig wäre.
Ich verwalte den Router nicht vom Server aus und möchte nicht, dass ein Programm auf dem System dies tun oder meine lokale IP-Adresse ändern oder ähnliches tun kann. Wenn ich NAT also richtig verstehe, sollte das Verbot des Datenverkehrs zu/von dieser IP-Adresse keine Probleme verursachen.
Ich bin mir meiner Netzwerkprobleme jedoch nicht sicher genug, um das mit Sicherheit sagen zu können. Daher dachte ich, bevor ich möglicherweise etwas vermassle (insbesondere etwas so Subtiles wie eine weniger sichere, aber schwer zu bemerkende Konfigurationsänderung), könnte ich bei der Entscheidung ein wenig Crowdsourcing betreiben.
Erklärung, wenn das eine dumme Frage ist
Dies ist der erste öffentlich zugängliche Server, den ich jemals bereitgestellt habe. Daher versuche ich aktiv, mir möglichst viele gute und möglichst wenige schlechte Gewohnheiten anzueignen …
Antwort1
Sie sollten niemals direkt mit einemreinNAT-Gateway (d. h. ein Gerät, das nur Port-/Adressumschreibungen vornimmt und sonst nichts).
Sie haben jedoch wahrscheinlich keinen dieser Dienste. Der typische Heimrouter bietet neben NAT, DHCP, DNS-Auflösung möglicherweise einen NTP-Server, UPnP-Hole-Punching und verschiedene andere Dienste. Wenn Sie sicher sind, dass Ihr Server keinen dieser Dienste verwendet (insbesondere keine DNS-Auflösung), können Sie die Firewall des Servers so einrichten, dass der Kontakt blockiert wird.