В примере FreeBSD ipfilter
настройки, я вижу, что запросы от 192.168.0.0/16
заблокированы (ссылка на RFC1918)
Похоже, что это мешает какой-то частной внутренней сети, поэтому я это прокомментирую.
Затем я хочу разрешить, скажем, пинги с локальных хостов; Я делаю это, разрешая входящие пинги от 192.168.0.0/24
.
Есть ли в этом риск для безопасности? Это обозначение в основном включает и маршрутизатор, но, насколько я понимаю, оно не разрешает адреса источника со стороны WAN.
Похоже, это мешает работе какой-то частной внутренней связи, поэтому я прокомментирую это
Да и нет. Это мешает внутреннему трафику для внутренних машин.
Это НЕ мешает работе внешнего порта. Это ЧАСТНЫЕ IP-адреса по определению. Это означает, что они не должны существовать и разговаривать с моими серверами извне моей компании. ПЕРИОД. Так что их блокировка - ЛУЧШАЯ ПРАКТИКА. Тонны глупых провайдеров не блокируют их. Был там, видел, как это произошло. Любой внешний шлюз должен блокировать 3 внутренних блока IP-адресов.
Я могу только предположить, что «по умолчанию» FreeBSD предполагает наличие сервера в Интернете / в центре обработки данных. Помимо того, что он предназначен для настройки, он должен запрещать доступ с частных IP-адресов.