0
Я запускаю «частную» службу на своем компьютере, которую я не хочу получать с других компьютеров. Я настроил его, чтобы слушать только 127.0.0.1. Мне все еще нужен ограничительный брандмауэр? Например, можно ли получить пакет на eth1, который каким-то образом имел бы адрес 127.0.0.1 в качестве адреса назначения? Тогда, если моя цепочка FORWARD разрешима, не будет ли она доставляться на мой сервер, слушая локальный хост?сервер прослушивает 127.0.0.1, нужен ли мне брандмауэр?
Что делать, если я явно добавляю что-то вроде '-i eth0 ... -j DNAT -to-destination 127.0.0.1: 80' в' PREROUTING'? Они все равно не пройдут? – amkhlv
Я не эксперт по IP-сопоставлению, но считаю, что вы спрашиваете, что произойдет, если вы перенаправляете внешние пакеты на «127.0.0.1». Если вы можете это сделать, я думаю, что «PREROUTING» происходит достаточно рано в процессе, который будет отображаться для вашего сервиса, как если бы он появился с локального хоста. Вы должны быть в состоянии быстро проверить это, хотя. Выполнение этого кажется противоречащим тому, чтобы ваше обслуживание было приватным. –
Спасибо. Я думаю, вы правы. Но я недостаточно убежден, что принимаю ваш ответ. Я хотел бы, чтобы кто-нибудь объяснил мне, какой механизм отвечает за удаление этих «марсианских» пакетов, и в какой степени это зависит от правильной настройки брандмауэра. – amkhlv