O meu servidor precisa se comunicar diretamente com o gateway NAT?

1

O que quero dizer com '' comunicar diretamente ''

Será que ele precisa receber pacotes com o endereço IP do gateway como o endereço IP de origem ou enviar pacotes com o endereço IP do gateway como o endereço IP de destino?

(Eu ainda permitiria o echo de solicitação, resposta do ICMP, nenhuma rota para o host e o tempo excedido).

Minha configuração atual

Meu servidor Linux físico está atrás de um roteador que lida com DHCP (não uso isso com o servidor. IP estático configurado na inicialização), alguns firewalls (básicos) e NAT. Ainda não está vivo, por isso, neste momento, o tempo de inatividade não é um problema.

Por que estou perguntando

Como eu estava bloqueando o acesso a endereços de rede local no iptables, eu estava prestes a colocar exceções (regras -j RETURN nas cadeias de filtragem de endereço de rede privada) para o endereço do gateway, quando parei e me perguntei se isso seria realmente necessário.

Eu não administro o roteador do servidor, e não quero que nenhum programa no sistema seja capaz de fazer isso, ou mude o meu IP local ou qualquer coisa nesse sentido, então se eu entendi que o NAT não permite corretamente o tráfego de / para esse IP não deve quebrar nada.

Mas eu não estou confiante o suficiente sobre a minha rede para dizer com certeza, então eu pensei que, antes de possivelmente estragar algo (especialmente algo sutil como uma mudança na configuração menos segura, mas difícil de notar), eu pensei faria um pouco de crowdsourcing sobre a decisão.

Explicação se esta é uma pergunta estúpida

Este é o primeiro servidor publicamente acessível que já implantei, por isso estou tentando ativamente formar tantos bons hábitos - e o menor possível ...

    
por Parthian Shot 12.07.2014 / 03:17

1 resposta

2

Você nunca deve precisar se comunicar diretamente com um gateway NAT puro (ou seja, um dispositivo que reescreva porta / endereço e nada mais).

No entanto, você provavelmente não tem um desses. O roteador doméstico típico fornece, além de NAT, DHCP, resolução de DNS, possivelmente um servidor NTP, perfuração UPnP e vários outros serviços. Se você tiver certeza de que seu servidor não usa nenhum deles (em particular, resolução de DNS), você pode configurar o firewall do servidor para bloquear o contato.

    
por 12.07.2014 / 07:35