내가 말하는 '직접 소통'이란 무엇인가?
게이트웨이의 IP 주소를 소스 IP 주소로 사용하여 패킷을 수신하거나 게이트웨이의 IP 주소를 대상 IP 주소로 사용하여 패킷을 보내야 하는 경우가 있습니까?
(나는 여전히 ICMP 요청 에코, 응답, 호스트에 대한 경로 없음 및 시간 초과를 허용합니다.)
내 현재 설정
내 물리적 Linux 서버는 DHCP(서버에서는 사용하지 않습니다. 부팅 시 구성된 고정 IP), 일부 (기본) 방화벽 및 NAT를 처리하는 라우터 뒤에 있습니다. 아직 라이브가 아니므로 현재 다운타임은 문제가 되지 않습니다.
내가 묻는 이유
iptables에서 로컬 네트워크 주소에 대한 액세스를 차단하면서 게이트웨이 주소에 대해 예외(개인 네트워크 주소 필터링 체인의 -j RETURN 규칙)를 넣으려고 하다가 중지하고 이것이 실제로 필요한지 궁금했습니다.
나는 서버에서 라우터를 관리하지 않으며 시스템의 어떤 프로그램도 이를 수행하거나 내 로컬 IP 또는 해당 라인을 따라 아무것도 변경하는 것을 원하지 않습니다. 따라서 NAT를 올바르게 이해하면/에 대한 트래픽을 허용하지 않습니다. 해당 IP에서는 아무것도 중단되어서는 안됩니다.
그러나 나는 내 네트워킹에 대해 확실히 말할 만큼 자신이 없기 때문에 뭔가를 엉망으로 만들기 전에(특히 덜 안전하지만 눈에 띄기 어려운 구성 변경과 같은 미묘한 것) 그렇게 해야겠다고 생각했습니다. 결정에 대한 약간의 크라우드소싱.
이것이 어리석은 질문이라면 설명하십시오.
이것은 제가 배포한 최초의 공개적으로 액세스 가능한 서버이므로 가능한 한 많은 좋은 습관을 형성하고 나쁜 습관은 적게 형성하려고 적극적으로 노력하고 있습니다.
답변1
절대로 직접 의사소통할 필요가 없습니다.순수한NAT 게이트웨이(예: 포트/주소 재작성만 수행하고 다른 작업은 수행하지 않는 장치)
그러나 아마도 그런 것이 하나도 없을 것입니다. 일반적인 홈 라우터는 NAT, DHCP, DNS 확인, NTP 서버, UPnP 홀 펀칭 및 기타 다양한 서비스를 제공합니다. 서버에서 이러한 기능(특히 DNS 확인)을 사용하지 않는다고 확신하는 경우 서버의 방화벽을 설정하여 연결을 차단할 수 있습니다.