インターフェイストラフィックフィルタリングの次の規則を説明できる人はいますかloopback
?
# Allow all loopback (lo0) traffic and reject traffic
# to localhost that does not originate from lo0.
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
私が説明する方法は次のとおりです。
着信パケットをすべて受け入れます
loopback
。127.x.x.x.x
属していないすべての受信パケットを拒否しますloopback
。
このルールは実際にどのような用途に使用されますか?ケース1の場合、すべてのパケットが追加のloopback
フィルタリングを必要としないことを意味しますか?着信パケットがloopback
外部ソースから来ることは可能ですか?
ベストアンサー1
ルールの意味はまさにあなたが説明するのと同じです。
- ループバックインターフェイスで受信されたすべてのパケット。
- 他のソースからのループバックアドレスを含むパケットは許可されません。
これは、ループバックインターフェイス自体からの着信データが追加のフィルタリングを必要とするという意味ではありません。規則2)は、他のインターフェイスから着信ループバックアドレスを使用して偽/偽装パケットを防止しようとすることを意味します。