Imagine un servidor que solo debe servirse solo (restringido a TCP por un estándar). Naturalmente, solo escucharía en la interfaz de bucle invertido y nunca se preocuparía por los ataques desde redes externas.
Lamentablemente, hay casos de uso como contenedores (por ejemplo, Docker) y máquinas virtuales (VirtualBox, VMWare, ...) cuando el propietario humano de la máquina real quiere que ese servidor esté disponible para las máquinas virtuales que posee. Ahora, escuchar en loopback ya no funciona, ya que esas máquinas virtuales tienen sus propias interfaces de loopback.
Entonces, la pregunta es si un servidor escucharía en todas las interfaces de red pública pero interrumpiría instantáneamente la conexión, sin intentar analizar ninguna comunicación entrante, cuando la conexión no se origina en la misma computadora (deducida automáticamente o mediante una lista blanca explícita IPs), ¿de qué ataques desde la intranet debería preocuparse? La principal preocupación aquí es unirse a las redes WiFi públicas, pero supongamos que las intranets corporativas "confiables" tampoco deberían ser confiables en este caso particular.
Una forma de reformular la pregunta: es una lista blanca de IP a nivel de usuario (después del firewall), una medida de seguridad suficiente para garantizar que nadie en la red local pueda abusar de ella (hacerse pasar por un cliente de confianza, negar el servicio para un cliente de confianza, provocar un exceso de búfer) / Ejecución de código, es decir, todo lo que no sea DDoS obvio): ¿suponiendo que el sistema operativo de hospedaje sea seguro?