我所說的「直接溝通」是什麼意思
是否需要接收以網關IP位址作為來源IP位址的資料包,或發送以網關IP位址作為目的IP位址的資料包?
(我仍然允許 ICMP 請求回顯、回應、沒有到主機的路由以及逾時。)
我目前的設置
我的實體 Linux 伺服器位於處理 DHCP(我不將其與伺服器一起使用。啟動時配置的靜態 IP)、一些(基本)防火牆和 NAT 的路由器後面。它尚未上線,因此目前停機不是問題。
我為什麼要問
當我在 iptables 中阻止對本地網路位址的存取時,我正要為網關位址添加例外(私有網路位址過濾鏈中的 -j RETURN 規則),這時我停下來想知道這是否真的有必要。
我不從伺服器管理路由器,並且我不希望系統上的任何程式能夠執行此操作,或者更改我的本地 IP 或類似的任何內容,因此,如果我正確理解 NAT,則不允許流量到/來自該IP不應破壞任何內容。
但我對我的網路沒有足夠的信心來肯定地說,所以我想,在我可能搞砸一些事情之前(特別是一些微妙的事情,比如不太安全但很難注意到的配置更改),我想我會這樣做對這個決定進行了一些眾包。
解釋一下這是否是一個愚蠢的問題
這是我部署的第一個可公開訪問的伺服器,因此我正在積極嘗試養成盡可能多的好習慣,並儘可能少地養成壞習慣......
答案1
您永遠不需要直接與純的NAT 閘道器(即僅進行連接埠/位址重寫的裝置)。
但是,您可能沒有其中之一。除了 NAT、DHCP、DNS 解析之外,典型的家庭路由器還可能提供 NTP 伺服器、UPnP 打洞以及各種其他服務。如果您確定您的伺服器不使用其中任何一個(特別是 DNS 解析),您可以設定伺服器的防火牆來阻止聯繫。