サーバーはNATゲートウェイと直接通信する必要がありますか?

1

「直接通信」とは

送信元IPアドレスとしてゲートウェイのIPアドレスを持つパケットを受信する必要がありますか、それとも宛先IPアドレスとしてゲートウェイのIPアドレスを持つパケットを送信する必要がありますか?

(ICMP要求エコー、応答、ホストへのルートなし、および時間超過を引き続き許可します。)

私の現在の設定

私の物理Linuxサーバーは、DHCP(サーバーでは使用しません。起動時に構成された静的IP)、一部の(基本)ファイアウォール、およびNATを処理するルーターの背後にあります。まだライブではないので、現時点ではダウンタイムは問題になりません。

私が尋ねる理由

iptablesでローカルネットワークアドレスへのアクセスをブロックしていたので、ゲートウェイアドレスに例外(プライベートネットワークアドレスフィルタリングチェーンの-j RETURNルール)を入れようとしていました。

サーバーからルーターを管理していません。システム上のプログラムがそれを実行したり、ローカルIPまたはそれらの行に沿ったものを変更したりしたくないので、NATを正しく理解している場合、そのIPからは何も壊れてはいけません。

しかし、私は確かに言うためにネットワークについて十分に自信がないので、何かを台無しにする前に(特に安全性は低いが気づきにくい設定変更のような微妙なもの)、私はそうすると思った決定に関する少しのクラウドソーシング。

これが愚かな質問かどうかの説明

これは私が展開した最初の公開アクセス可能なサーバーであるため、可能な限り多くの良い習慣を-そしてできるだけ少ない悪いを-できる限り積極的に形成しようとしています...

networking  linux  ip  iptables 
パルティアショット
ソース
...質問に回答し、回答が受け入れられ、質問に関連するすべてがかなり解決された後、いくつかのばかがこれをスーパーユーザーに移動しますか?私の質問は「私のデスクトップはゲートウェイにアクセスする必要がありますか?」ではなかった、それは「?私のサーバーをい」、およびconcerns-質問は、具体的なセキュリティによって動機づけあったため息ものは何でも...。これは、人々が不明瞭に優れていると感じたときに質問を移動することを人々が推奨するサイトであり、それは物事がそうである方法です。
パルティアショット14

回答:

2

純粋な NATゲートウェイ(つまり、ポート/アドレスの書き換えのみを行うデバイス)と直接通信する必要はありません。

ただし、おそらくあなたはそれらのいずれかを持っていません。一般的なホームルーターは、NAT、DHCP、DNS解決に加えて、おそらくNTPサーバー、UPnPホールパンチング、およびその他の各種サービスを提供します。サーバーがそれらのいずれも使用していないことが確実な場合(特にDNS解決)、サーバーのファイアウォールを設定して連絡をブロックすることができます。

マーク
ソース
DNS-現時点では、アップデートのインストールや、接続ホストのホスト名の確認など、DNSが必要になる頻度は比較的低いと予想しています。それを踏まえて、デフォルトのプライマリおよびセカンダリDNSサーバーを8.8.8.8および8.8.4.4(または同様のもの)に設定するのは良い考えだと思いますか?
パルティアショット14
NTP-を使用しています。.pool.ntp.orgサーバー。だから、おそらくそれは問題ではないはずです。
パルティアショット14
UPnP-...わかりません。しかし、私はそうしないと確信しています。そして、私が読んでいるものから、それは私が避けたいまさにそのようなもののように思われます(NATに普遍的にアクセス可能な穴をパンチします)。
パルティアショット14
ところで、ありがとう。NAT、DHCP、そしておそらくDNSよりもはるかに多くのことをしたとは思いませんでした。私はそれが(おそらく)提供している他のサービスを調べるべきだと思います。
パルティアショット14
DNSの場合、サーバーにキャッシュDNSリゾルバーを貼り付けることができます。
マーク14
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.