помощь iptables необходима в 1304
Я имею, устанавливают мою машину полную-нетерпения-ringtail и решенный для использования iptables после удаления ufw, чтобы иметь больше контроля над моей сетевой безопасностью. Однако я застреваю однажды. Во-первых, я установил политику по умолчанию отклонить весь трафик по умолчанию:
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP
После этого я добавил, ПРИНИМАЮТ правила для моих интерфейсов локальной сети, которые хорошо работают. Однако для некоторых моих локальных служб (таких как веб-сервер локальный просмотр) для работы я должен позволить трафик, происходящий моему локальному интерфейсу (lo). Для этого я нашел две версии в сети:
[1]
iptables -A INPUT -i lo -j ACCEPT # Allow local addresses
iptables -A OUTPUT -o lo -j ACCEPT # Allow local addresses
[2]
iptables -A INPUT -s 127.0.0.1 -j ACCEPT # Allow Allow local addresses
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT # Allow Allow local addresses
Я хочу знать то, что различие между двумя? Разрешение трафика является к/от интерфейсу "lo" тем же как originating/destined-to 127.0.0.1? Какой я должен использовать и почему?
1 ответ
Интерфейс Use lo.
1) Ubuntu/Debian странно используют 127.0.1.1 вместо 127.0.0.1 разрешить Ваше каноническое имя хоста.
2) По умолчанию, 127.0.0.0/8 (127.anything) переходит к обратной петле. Вы не должны сужать свои фильтры к только одному из адресов в той подсети.
steven@lat:~ $ проверяют с помощью ping-запросов 127.254.254.254-c 1
PING 127.254.254.254 (127.254.254.254) 56 (84) байты данных.
64 байта от 127.254.254.254: icmp_req=1 ttl=64 time=0.052 мс---127.254.254.254 статистических данных ping---
1 переданный пакет, 1 полученная, 0%-я потеря пакетов, время 0ms
rtt min/avg/max/mdev = 0.052/0.052/0.052/0.000 мс
steven@lat:~ $
3) Можно присвоить любые другие адреса, которые Вы любите к петлевому адаптеру.
Независимо от того, что Вы делаете, iptables -A INPUT -i lo -o lo -j ACCEPT не плохая идея. Это говорит, что пакеты с этой машины на эту машину приемлемы.