0
我在我的計算機上運行「私人」服務,我不希望從其他計算機訪問該服務。我將它配置爲僅在127.0.0.1
上進行收聽。我是否還需要限制性防火牆? 例如,是否有可能收到eth1
的數據包,它會以某種方式將127.0.0.1
作爲目標地址?那麼,如果我的FORWARD鏈是寬容的,它會不會傳遞給我的服務器在本地主機上偵聽?服務器在127.0.0.1上偵聽,我需要防火牆嗎?
我在我的計算機上運行「私人」服務,我不希望從其他計算機訪問該服務。我將它配置爲僅在127.0.0.1
上進行收聽。我是否還需要限制性防火牆? 例如,是否有可能收到eth1
的數據包,它會以某種方式將127.0.0.1
作爲目標地址?那麼,如果我的FORWARD鏈是寬容的,它會不會傳遞給我的服務器在本地主機上偵聽?服務器在127.0.0.1上偵聽,我需要防火牆嗎?
127.0.0.1
只適用於本地計算機「環回」。如果它們來自本地計算機外部,則它們是required to be dropped。因此,如果應用只在127.0.0.1
上收聽,則不需要防火牆。
如果我在'PREROUTING'中明確添加諸如'-i eth0 ... -j DNAT - 到目的地127.0.0.1:80'之類的東西?他們仍然不會通過? – amkhlv
我不是IP映射專家,但我相信你會問,如果將外部數據包路由到'127.0.0.1'會發生什麼情況。如果你能做到這一點,我認爲'PREROUTING'在整個過程中發生的時間足夠早,它會像服務器本地主機一樣出現在你的服務中。你應該能夠快速測試這個。這樣做似乎與保持私人服務不合。 –
謝謝。我想你是對的。但我不太相信接受你的答案。我希望有人向我解釋,究竟是什麼機制負責放棄這些「火星人」包,以及它在多大程度上取決於正確配置的防火牆。 – amkhlv