firewall - $IPTABLES -A INPUT -i $LO_IFACE -d 127.0.0.1 -j ACCEPT
Anti.Trust
antitrust na centrum.sk
Čtvrtek Duben 8 14:12:18 CEST 2004
Jan Houstek wrote:
> On Wed, 7 Apr 2004, Anti.Trust wrote:
>
>
>>Mal som na fw problem.
>>Okrem ineho-squid, apache, bezi na nom aj bind9.
>
>
>>LO_IFACE=lo
>>Ak som A)
>> $IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT
>>nahradil s B)
>> $IPTABLES -A INPUT -i $LO_IFACE -s 127.0.0.1 -j ACCEPT
>> $IPTABLES -A INPUT -i $LO_IFACE -d 127.0.0.1 -j ACCEPT
>>co je IMHO "to iste"
>
>
> To pochopitelne neni to same.
V com spociva rozdiel?
Ved je povoleny "prijem" aj odoslanie paketu na 127.0.0.1, takze ja
nevidim rozdiel - IMHO mate urcite pravdu :), ale prave TA ma zaujima.
Aha, tak kym som so pozrel gg, tak som aj pochopil.
Ved -d moze byt aj Inet aj napr. 10.0.0.0/8 a pod.
>
> Obecne neprilis chapu vasi motivaci firewallovat loopback interface, co se
> tim snazite dosahnout?
Bezpecnosti :)) - vid vyssie
Proste som tam mal napisat:
$IPTABLES -A INPUT -i $LO_IFACE -s ! 127.0.0.1 -j LOG --log-prefix
"LO_IP nie je 127!!"
[neviem, ci je zapis spravny, ale malo by to byt OK]
$IPTABLES -A INPUT -i $LO_IFACE -s 127.0.0.1 -j ACCEPT
>
> -- Honza Houstek
>
Moze byt "-s" pri "-i lo" ina ako 127.0.0.1, popr. 127.0.0.0/8??
[hovorime o beznom PC, architekture a pod.]
Aky by to malo zmysel?
AT
Další informace o konferenci Linux