firewall - $IPTABLES -A INPUT -i $LO_IFACE -d 127.0.0.1 -j ACCEPT

Anti.Trust antitrust na centrum.sk
Čtvrtek Duben 8 14:12:18 CEST 2004


Jan Houstek wrote:

> On Wed, 7 Apr 2004, Anti.Trust wrote:
> 
> 
>>Mal som na fw problem.
>>Okrem ineho-squid, apache, bezi na nom aj bind9.
> 
> 
>>LO_IFACE=lo
>>Ak som A)
>>         $IPTABLES -A INPUT -i $LO_IFACE -j ACCEPT
>>nahradil s B)
>>         $IPTABLES -A INPUT -i $LO_IFACE -s 127.0.0.1 -j ACCEPT
>>         $IPTABLES -A INPUT -i $LO_IFACE -d 127.0.0.1 -j ACCEPT
>>co je IMHO "to iste"
> 
> 
> To pochopitelne neni to same.

V com spociva rozdiel?
Ved je povoleny "prijem" aj odoslanie paketu na 127.0.0.1, takze ja 
nevidim rozdiel - IMHO mate urcite pravdu :), ale prave TA ma zaujima.

Aha, tak kym som so pozrel gg, tak som aj pochopil.
Ved -d moze byt aj Inet aj napr. 10.0.0.0/8 a pod.


> 
> Obecne neprilis chapu vasi motivaci firewallovat loopback interface, co se
> tim snazite dosahnout?

Bezpecnosti :)) - vid vyssie

Proste som tam mal napisat:
$IPTABLES -A INPUT -i $LO_IFACE -s ! 127.0.0.1 -j LOG  --log-prefix 
"LO_IP nie je 127!!"
[neviem, ci je zapis spravny, ale malo by to byt OK]
$IPTABLES -A INPUT -i $LO_IFACE -s 127.0.0.1 -j ACCEPT

> 
> -- Honza Houstek
> 

Moze byt "-s" pri "-i lo" ina ako 127.0.0.1, popr. 127.0.0.0/8??
[hovorime o beznom PC, architekture a pod.]

Aky by to malo zmysel?

AT



Další informace o konferenci Linux