Ho un'applicazione web fatta in casa e ho pensato che un modo semplice per proteggere la sua interfaccia di amministrazione sarebbe semplicemente rifiutare tutti gli IP che non sono 192.168. . . È fattibile? è possibile che qualcuno possa falsificare gli IP della LAN su Internet?
E se è possibile, non sarebbe normale aggiungere una regola iptables per rifiutare tutti gli IP LAN dall'interfaccia internet?
In pratica è probabile che questa sia una protezione ragionevole, ma da un punto di vista ideale non dovresti fare affidamento su di esso. A prescindere da qualsiasi altra cosa, ignora la possibilità che un utente malintenzionato possa accedere a una macchina sulla LAN locale (ad esempio se uno dei tuoi sistemi viene infettato da malware)
In termini di iptables che rifiutano gli IP LAN da Internet, si tratta di una pratica standard nota come Bogon Filtering
Se sei dietro un nat / router / firewall, allora dovresti aprire la porta del servizio che desideri sia accessibile lì. Non aprire la porta di amministrazione e averla su una porta diversa dall'applicazione (ad esempio se la sua app Web e l'amministratore Web ne hanno una su 80 e una su 8080).
Quindi certo, difendi anche sulla scatola, blocca tutto il traffico fuori linea.
Ma un giorno potresti voler amministrarlo da remoto. Quindi, se si tratta di un amministratore web, usa https con autenticazione basata su certificato.
Leggi altre domande sui tag web-application firewalls appsec iptables