0
我在我的计算机上运行“私人”服务,我不希望从其他计算机访问该服务。我将它配置为仅在127.0.0.1
上进行收听。我是否还需要限制性防火墙? 例如,是否有可能收到eth1
的数据包,它会以某种方式将127.0.0.1
作为目标地址?那么,如果我的FORWARD链是宽容的,它会不会传递给我的服务器在本地主机上侦听?服务器在127.0.0.1上侦听,我需要防火墙吗?
我在我的计算机上运行“私人”服务,我不希望从其他计算机访问该服务。我将它配置为仅在127.0.0.1
上进行收听。我是否还需要限制性防火墙? 例如,是否有可能收到eth1
的数据包,它会以某种方式将127.0.0.1
作为目标地址?那么,如果我的FORWARD链是宽容的,它会不会传递给我的服务器在本地主机上侦听?服务器在127.0.0.1上侦听,我需要防火墙吗?
127.0.0.1
只适用于本地计算机“环回”。如果它们来自本地计算机外部,则它们是required to be dropped。因此,如果应用只在127.0.0.1
上收听,则不需要防火墙。
如果我在'PREROUTING'中明确添加诸如'-i eth0 ... -j DNAT - 到目的地127.0.0.1:80'之类的东西?他们仍然不会通过? – amkhlv
我不是IP映射专家,但我相信你会问,如果将外部数据包路由到'127.0.0.1'会发生什么情况。如果你能做到这一点,我认为'PREROUTING'在整个过程中发生的时间足够早,它会像服务器本地主机一样出现在你的服务中。你应该能够快速测试这个。这样做似乎与保持私人服务不合。 –
谢谢。我想你是对的。但我不太相信接受你的答案。我希望有人向我解释,究竟是什么机制负责放弃这些“火星人”包,以及它在多大程度上取决于正确配置的防火墙。 – amkhlv