Sunucumun doğrudan NAT ağ geçidi ile doğrudan iletişim kurması gerekir mi?

1

“Doğrudan iletişim kurmak” derken ne demek istiyorsun?

Kaynak IP adresi olarak ağ geçidinin IP adresini içeren paketleri alması veya hedef IP adresi olarak ağ geçidinin IP adresini içeren paketleri göndermesi gerekli mi?

(ICMP istek yankısı, yanıtlama, barındırma rotası ve zaman aşımına izin vermeyeceğim.)

Mevcut kurulumum

Fiziksel Linux sunucum DHCP'yi kullanan bir yönlendiricinin arkasında (bunu sunucuyla kullanmıyorum. Önyükleme sırasında yapılandırılmış Statik IP), bazı (temel) güvenlik duvarı ve NAT. Henüz canlı değil, şu anda kesinti bir sorun değil.

Neden soruyorum

Iptables'da yerel ağ adreslerine erişimi engellerken, durduğumda gerçekten gerekli olup olmadığını merak ettiğimde ağ geçidi adresi için istisnalar (özel ağ adres filtreleme zincirlerinde -J RETURN kuralları) koymak üzereydim.

Yönlendiriciyi sunucudan yönetmiyorum ve sistemdeki herhangi bir programın bunu yapmasını istemiyorum veya yerel IP'mi veya bu satırlar boyunca herhangi bir şeyi değiştirmesini istemiyorum, bu yüzden NAT'ın trafiğe doğru şekilde trafiğe izin vermemesini anlarsam / Bu IP’den hiçbir şey kırılmamalıdır.

Ama ağ bağlantım hakkında kesin olarak söyleyecek kadar emin değilim, bu yüzden, muhtemelen bir şeyi batırmadan önce (özellikle daha az güvenli fakat fark edilmesi zor bir yapılandırma değişikliği gibi ince bir şey), yapacağımı düşündüm. karar üzerine biraz kitle kaynaklı.

Bu aptalca bir soru ise açıklama

Bu şimdiye kadar kullandığım ilk kamuya açık sunucu. Bu yüzden aktif olarak birçok iyi alışkanlık oluşturmaya çalışıyorum - ve mümkün olduğunca az ...

networking  linux  ip  iptables 
Part Atışı
kaynak
... Soru cevaplandıktan ve cevap kabul edildikten ve soru ile ilgili her şey oldukça iyi çözüldükten sonra, bazı salaklar bunu Süper Kullanıcı'ya mı taşıyor? Sorum "? My sunucu mu" "ağ geçidi erişmek için masaüstü ihtiyacını mı?" Öyleydi değildi ve soru özellikle concerns- güvenlik tarafından motive edilmiş nefes neyse .... Burası insanların kendilerini kendilerini üstün hissettiklerini hissettiklerinde değiştirmelerini önerdikleri site ve işte böyle.
Parthian Shot

Yanıtlar:

2

Bir doğrudan iletişim kurmak için gerekli olmaması gereken saf NAT geçidi (yani. Portu / adres yeniden yazma ve başka hiçbir şeyin yapan bir cihaz).

Ancak, muhtemelen bunlardan birine sahip değilsiniz. Tipik ev yönlendiricisi, NAT, DHCP'ye ek olarak, DNS çözümlemesi, muhtemelen bir NTP sunucusu, UPnP delik açma ve çeşitli başka hizmetler de sağlar. Sunucunuzun bunlardan hiçbirini kullanmadığından eminseniz (özellikle DNS çözünürlüğü), sunucunun güvenlik duvarını teması engellemek için ayarlayabilirsiniz.

işaret
kaynak
DNS - Şu anda, yalnızca güncelleştirmeleri yüklemek ve belki de bağlantı yapan ana bilgisayarların ana bilgisayar adlarını kontrol etmek gibi işlemler için nispeten seyrek olarak DNS'e ihtiyacım olacağını tahmin ediyorum. Bunun ışığında, yalnızca varsayılan birincil ve ikincil DNS sunucularını 8.8.8.8 ve 8.8.4.4'e (veya benzer bir şeye) ayarlamak iyi bir fikir olabilir mi?
Parthian Shot
NTP - Ben kullanıyorum . .pool.ntp.org sunucuları. Yani bu muhtemelen bir sorun olmamalı.
Parthian Shot
UPnP - ... Emin değilim. Yine de yapmadığımdan eminim. Ve okuduklarımdan, tam olarak kaçınmak istediğim bir şeye benziyor (NAT'ta evrensel olarak erişilebilir delikleri delmek).
Parthian Shot
Bu arada teşekkür ederim. NAT, DHCP ve belki de DNS'den daha fazlasını yaptığını tahmin edemezdim. Sanırım ne gibi hizmetler sağladığına bakmalıyım.
Parthian Shot
DNS için, sunucuya önbellekleme yapan bir DNS çözümleyicisini yapıştırmak isteyebilirsiniz.
Mark
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.