LINUX.ORG.RU

История изменений

Исправление Infra_HDC, (текущая версия) :

1. Правила 

iptables -A INPUT -i lo ! -s 127.0.0.1 -j DROP # Блокируем, если источник - не локалка
iptables -A OUTPUT -o lo ! -d 127.0.0.1 -j DROP # Блокируем, если адрес - не локалка
моветон, и вот почему: если например у тебя на интерфейсе eth0 выставлен адрес 192.168.0.1, то трафик с этого на этот будет ходить через интерфейс lo. В твоем случае после добавления вышепроцитированных правил, ты не сможешь обращаться изнутри хоста к адресу, который на обычных твоих сетевых интерфейсах.

2. OUTPUT — цепочка, которая фильтрует исходящие правила со стороны процессов, запущенных на твоем хосте. Чтобы случайно запущенные с плохими параметрами программы не ждали очень долго, делай REJECT. Или вообще не фильтруй.

Исходная версия Infra_HDC, :

1. Правила 

iptables -A INPUT -i lo ! -s 127.0.0.1 -j DROP # Блокируем, если источник - не локалка
iptables -A OUTPUT -o lo ! -d 127.0.0.1 -j DROP # Блокируем, если адрес - не локалка
моветон, и вот почему: если например у тебя на интерфейсе eth0 выставлен адрес 192.168.0.1, то трафик с этого на этот будет ходить через интерфейс lo. В твоем случае после добавления вышепроцетированных правил, ты не сможешь обращаться изнутри хоста к адресу, который на обычных твоих сетевых интерфейсах.

2. OUTPUT — цепочка, которая фильтрует исходящие правила со стороны процессов, запущенных на твоем хосте. Чтобы случайно запущенные с плохими параметрами программы не ждали очень долго, делай REJECT. Или вообще не фильтруй.