我的 iptables 中有以下规则(我删去了与该问题无关的规则):
*生的 :预路由接受 :输出接受 -A 预路由-i lo -j NOTRACK -A 输出 -o lo -j NOTRACK 犯罪 *筛选 -A 输入-i lo -j 接受 -A 输入 -d 127.0.0.0/8 !-i lo -j REJECT --reject-with icmp-port-unreachable -A 输出 -j 接受 犯罪
我之所以实施这个措施,是因为通过环回与本地服务器交互时,ip_conntrack 发生了溢出。我是否忽略了任何安全问题?
答案1
我想说不是。lo无法从外部访问,所以如果攻击者已经到了可以攻击该接口的地步,那么您已经有更大的问题需要担心了。