Como o tráfego do dispositivo de loopback é permitido?

1

Como posso permitir que o tráfego seja enviado no dispositivo de loopback (lo)? Qual é o comando iptables para isso?

    
por Mr. White 07.12.2013 / 20:28

2 respostas

3

Por sua pergunta, presumo que você tenha as políticas de xtables padrão de DROP em suas cadeias ou as regras DROP / REJECT explícitas próximas ao fim de suas cadeias. Quaisquer regras ACCEPT devem vir antes delas.

Exemplos de regras:

-A INPUT -i lo -j ACCEPT # accept any traffic coming from lo.
-A OUTPUT -o lo -j ACCEPT # accept any traffic sent to lo.

Se você quiser brincar com os testes, aqui está um dump para carregar no iptables-restore. Eu adicionei explicitamente o -s / -d 127.0.0.1 para que você possa ver como o que está sendo correspondido normalmente (você pode combinar -d em OUTPUT e -s em INPUT se você quiser). Além disso, usei respostas de rejeição ICMP não padrão, para que você possa saber com qual regra correspondeu seus patches com facilidade. Se você alterar a ordem dessas regras (elas aceitam por enquanto), você poderá acionar as rejeições. Você também pode tentar adicionar outro IP como 127.0.0.2/8 à sua interface de loopback e testar entre esse IP e o% normal 127.0.0.1/8 IP (você desejará especificar explicitamente um IP de origem em ping ).

# Generated by iptables-save v1.4.20 on Sat Dec  7 23:10:52 2013
*filter
:INPUT ACCEPT [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -s 127.0.0.1/32 -i lo -j ACCEPT
-A INPUT -s 127.0.0.1/32 -i lo -j REJECT --reject-with icmp-host-prohibited
-A OUTPUT -d 127.0.0.1/32 -o lo -j ACCEPT
-A OUTPUT -d 127.0.0.1/32 -o lo -j REJECT --reject-with icmp-net-prohibited
COMMIT

A corrente FORWARD raramente é usada com interfaces de loopback, a menos que você esteja fazendo coisas com o tráfego de tunelamento (e você pode ligar-se ao loopback localmente).

    
por 08.12.2013 / 00:17
2

Uma regra de -A INPUT -i lo -j ACCEPT permitiria qualquer tráfego enviado por lo. Mas devido à forma como o Xtables funciona, você precisa garantir que a regra venha antes de qualquer regra que negue um pacote correspondente para que ele funcione.

    
por 07.12.2013 / 21:51