在以下 iptables 图中，数据包如何从一个本地进程传播到另一个本地进程？

Question

数据包将穿过图表的左侧。只有当数据包来自外部源并且目的地不是本地机器上的地址时（当然，您已启用 ip_forward），FORWARD 链才会处理这些数据包。

在编写影响本地进程的规则时，我发现一件有趣的事情是，即使你向以太网接口的 IP 地址发送 TCP 连接（例如eth0），它也会在环回设备中进出。因此，以下规则不会阻止本地进程连接到绑定到 eth0 的地址上的端口 4000。

iptables -A INPUT -i eth0 -p tcp --dport 4000 -j REJECT

正如下面的规则只会阻止本地进程连接绑定到 eth0 的地址上的端口 4000，而不会阻止其他主机的进程：

iptables -A INPUT -i lo -p tcp --dport 4000 -j REJECT

当然，如果进程监听 0.0.0.0，那么这一切都毫无意义，因为您可以直接连接到 127.0.0.1 :-)

Answer 1

数据包将穿过图表的左侧。只有当数据包来自外部源并且目的地不是本地机器上的地址时（当然，您已启用 ip_forward），FORWARD 链才会处理这些数据包。

在编写影响本地进程的规则时，我发现一件有趣的事情是，即使你向以太网接口的 IP 地址发送 TCP 连接（例如eth0），它也会在环回设备中进出。因此，以下规则不会阻止本地进程连接到绑定到 eth0 的地址上的端口 4000。

iptables -A INPUT -i eth0 -p tcp --dport 4000 -j REJECT

正如下面的规则只会阻止本地进程连接绑定到 eth0 的地址上的端口 4000，而不会阻止其他主机的进程：

iptables -A INPUT -i lo -p tcp --dport 4000 -j REJECT

当然，如果进程监听 0.0.0.0，那么这一切都毫无意义，因为您可以直接连接到 127.0.0.1 :-)

相关内容