Большинство настроек iptable содержат правило INPUT -i lo -j ACCEPT . Без этого довольно сложно подключиться к любому локально размещенному материалу. Однако, что мне не совсем ясно - локально запущенный процесс - единственный способ поймать эту строку? Я имею в виду, может ли он использоваться чем-то вроде доставки созданного пакета с src ip 127.0.0.1, dst 127.0.0.1, когда на некоторых интерфейсах включена пересылка ip?
1
1 ответ
2
Я думаю, что если бы вы использовали еще две строки, как показано ниже, то описанные вами события будут заблокированы:
-A INPUT -4 ! -i lo -d 127.0.0.0/8 -j REJECT
-A INPUT -6 ! -i lo -d ::1/128 -j REJECT
-A INPUT -i lo -j ACCEPT