On Wed, Jan 16, 2002 at 10:40:10AM +0100, Andre Schulze wrote:
Hallo,
in der Firewall, die ich jetzt neu konfiguriert habe, verfangen sich Packete meiner eigenen Kiste. Das OUTPUT Interface der betreffenden Packete ist dabei das loopback, aber die Ziel- und Absenderadresse ist aber die der aeusseren Ethernet Karte (eth0). In der deny all Strategie werden jedoch von mir nur folgende Packete übers Loopback angenommen:
iptables -A INPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -i lo -j ACCEPT iptables -A OUTPUT -s 127.0.0.0/8 -d 127.0.0.0/8 -o lo -j ACCEPT
Der Rest ist Verboten. Wenn jetzt also lokal ein Prozess eine Verbindung von meiner Ethernet IP Adresse aufmachen will und als Ziel wieder die gleiche Adresse hat, dann geht der Traffic auch übers Loop?
Ein Packet wird dem loopback-device zugestellt, wenn: - es explizit an 127.0.0.0/8 geschickt wird - die Zieladresse mit der Broadcast- oder Multicastadresse identisch ist - die Zieladresse mit der IP-Adresse eines Interfaces des selben Hosts identisch ist
Muß ich also meine eigenen Ethernet IP Adressen auch noch akzeptieren,
Reicht es nicht aus, das -s und -d wegzulassen? Packete von außerhalb sollten ja schließlich nicht ins loopback gelangen und wenn doch, sollte der Kernel dringend gefixt werden ;)
Ciao, Tobias