Tengo una aplicación web hecha en casa y pensé que una forma fácil de proteger su interfaz de administración sería simplemente rechazar todas las IP que no sean 192.168. . . ¿Es esto viable? ¿Es posible que alguien falsifique las IP de LAN en Internet?
Y si es posible, ¿no sería estándar agregar una regla de iptables para rechazar todas las IP de LAN de la "interfaz de Internet"?
En la práctica, es probable que esto sea una protección razonable, pero desde un punto de vista ideal no debe confiar en ella. Aparte de todo lo demás, ignora la posibilidad de que un atacante pueda acceder a una máquina en su LAN local (por ejemplo, si uno de sus sistemas se infecta con malware)
En términos de tener iptables para rechazar IP de LAN de Internet, sí, esta es una práctica estándar conocida como Bogon Filtering
Si está detrás de un nat / router / firewall, entonces debería abrir el puerto de servicio al que desea acceder. No abra el puerto de administración y colóquelo en un puerto diferente al de la aplicación (por ejemplo, si su aplicación web y su administrador web tienen uno en 80 y otro en 8080).
Entonces, seguro, defiende en la caja también, bloquea todo el tráfico off-lan.
Pero un día es posible que desee administrarlo de forma remota. Por lo tanto, si se trata de un administrador web, use https con autenticación basada en certificados.
Lea otras preguntas en las etiquetas web-application firewalls appsec iptables