Por sua pergunta, presumo que você tenha as políticas de xtables
padrão de DROP
em suas cadeias ou as regras DROP
/ REJECT
explícitas próximas ao fim de suas cadeias. Quaisquer regras ACCEPT
devem vir antes delas.
Exemplos de regras:
-A INPUT -i lo -j ACCEPT # accept any traffic coming from lo.
-A OUTPUT -o lo -j ACCEPT # accept any traffic sent to lo.
Se você quiser brincar com os testes, aqui está um dump para carregar no iptables-restore. Eu adicionei explicitamente o -s / -d 127.0.0.1 para que você possa ver como o que está sendo correspondido normalmente (você pode combinar -d
em OUTPUT
e -s
em INPUT
se você quiser). Além disso, usei respostas de rejeição ICMP não padrão, para que você possa saber com qual regra correspondeu seus patches com facilidade. Se você alterar a ordem dessas regras (elas aceitam por enquanto), você poderá acionar as rejeições. Você também pode tentar adicionar outro IP como 127.0.0.2/8
à sua interface de loopback e testar entre esse IP e o% normal 127.0.0.1/8
IP (você desejará especificar explicitamente um IP de origem em ping
).
# Generated by iptables-save v1.4.20 on Sat Dec 7 23:10:52 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o lo -j REJECT --reject-with icmp-net-prohibited
COMMIT
A corrente FORWARD
raramente é usada com interfaces de loopback, a menos que você esteja fazendo coisas com o tráfego de tunelamento (e você pode ligar-se ao loopback localmente).