Por sua pergunta, presumo que você tenha as políticas de xtables padrão de DROP em suas cadeias ou as regras DROP / REJECT explícitas próximas ao fim de suas cadeias. Quaisquer regras ACCEPT devem vir antes delas.
Exemplos de regras:
-A INPUT -i lo -j ACCEPT # accept any traffic coming from lo.
-A OUTPUT -o lo -j ACCEPT # accept any traffic sent to lo.
Se você quiser brincar com os testes, aqui está um dump para carregar no iptables-restore. Eu adicionei explicitamente o -s / -d 127.0.0.1 para que você possa ver como o que está sendo correspondido normalmente (você pode combinar -d em OUTPUT e -s em INPUT se você quiser). Além disso, usei respostas de rejeição ICMP não padrão, para que você possa saber com qual regra correspondeu seus patches com facilidade. Se você alterar a ordem dessas regras (elas aceitam por enquanto), você poderá acionar as rejeições. Você também pode tentar adicionar outro IP como 127.0.0.2/8 à sua interface de loopback e testar entre esse IP e o% normal 127.0.0.1/8 IP (você desejará especificar explicitamente um IP de origem em ping ).
# Generated by iptables-save v1.4.20 on Sat Dec 7 23:10:52 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o lo -j REJECT --reject-with icmp-net-prohibited
COMMIT
A corrente FORWARD raramente é usada com interfaces de loopback, a menos que você esteja fazendo coisas com o tráfego de tunelamento (e você pode ligar-se ao loopback localmente).