有人可以解释以下过滤loopback接口流量的规则吗?
# Allow all loopback (lo0) traffic and reject traffic
# to localhost that does not originate from lo0.
-A INPUT -i lo -j ACCEPT
-A INPUT ! -i lo -s 127.0.0.0/8 -j REJECT
我解释它的方式:
接受所有传入的数据包到loopback.
拒绝所有来自的传入数据包127.x.x.x.x不是 to loopback。
这些规则的实际用途是什么?在 1 的情况下,这是否意味着所有数据包都loopback不必经过额外的过滤?传入的数据包是否可能loopback来自外部源?
规则的含义正是您所描述的,
这并不意味着来自环回接口的数据本身必须经过额外的过滤;这意味着规则 2) 试图防止来自其他接口的带有环回地址的假/欺骗数据包。