iptables ajuda necessária em 1304

Question

iptables ajuda necessária em 1304

#1 resposta do Steven K (1 votos)

1

Eu configurei minha máquina raring-ringtail e decidi usar o iptables depois de remover o ufw para ter mais controle sobre a segurança da minha rede. No entanto, estou preso em um ponto. Primeiro, defini a política padrão para negar todo o tráfego por padrão:

iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Depois disso, adicionei as regras ACCEPT às minhas interfaces de rede locais, que funcionam bem. No entanto, para que alguns dos meus serviços locais (como a navegação local do servidor da web) funcionem, preciso permitir o tráfego originado de / para minha interface local (lo). Para isso, encontrei duas versões na net:

[1]

iptables -A INPUT -i lo -j ACCEPT # Allow local addresses
iptables -A OUTPUT -o lo -j ACCEPT # Allow local addresses

[2]

iptables -A INPUT -s 127.0.0.1 -j ACCEPT # Allow Allow local addresses
iptables -A OUTPUT -d 127.0.0.1 -j ACCEPT # Allow Allow local addresses

Eu quero saber qual é a diferença entre os dois? Está permitindo o tráfego de / para a interface "lo" igual à origem / destinada a 127.0.0.1? Qual deles devo usar e por quê?

por Prahlad Yeri 21.06.2013 / 08:51

1 resposta

Como encontro qual DE está sendo executado no 14.04? [duplicado] Dependências quebradas e não removíveis que bloqueiam a instalação do QGIS no Xenial com upgrade do Trusty

score 1 · Accepted Answer

Use a interface lo .

1) O Ubuntu / Debian usa estranhamente 127.0.1.1 em vez de 127.0.0.1 para resolver seu nome de host canônico.

2) Por padrão, 127.0.0.0/8 (127.anything) vai para o loopback. Você não deve restringir seus filtros a apenas um dos endereços dessa sub-rede.

% bl0ck_qu0te%

3) Você pode atribuir qualquer outro endereço que desejar ao adaptador de loopback.

Não importa o que você faça, iptables -A INPUT -i lo -o lo -j ACCEPT não é uma má ideia. Diz que os pacotes desta máquina para esta máquina são aceitáveis.