おそらく、全員書くことになるであろうルールです。
・ループバックインターフェイス上に到達した、
あるいは存在するパケットは全て許可してやろう。
という、とても美しいルール。
Linux上で働く、アプリケーションの多くはクライアント/サーバ方式を採用している。
XWindowSystemとか。
そのアプリケーションはループバックインターフェイス経由のTCP/IPスタックで
データを他のプロセスに転送する。
だから、このルールが必要だ。
$IPTABLES -A INPUT -i lo -j ACCEPT
$IPTABLES -A OUTPUT -o lo -j ACCEPT
※$IPTABLESの中には/sbin/iptablesなどが入っているつもり$IPTABLES -A OUTPUT -o lo -j ACCEPT
シンプルなルールだな。
モチロンこのルールは各チェーンが DROP になっていることが前提だ。
ACCEPTになってたらこのルール書かなくてもALL ACCEPT。
このルールを、初期化ルールに書き加えてもいいし、
ループバック許可シェルスクリプトとして別にしてもいい。
ただ、コマンドで打ち込んで設定できて満足はしないで欲しい。
何かあったときに莫大なルールを設定しなおすことになるぞ。
0 件のコメント:
コメントを投稿