让 iptables 忽略环回接口是否存在安全隐患?

让 iptables 忽略环回接口是否存在安全隐患?

我的 iptables 中有以下规则(我删去了与该问题无关的规则):

*生的
:预路由接受
:输出接受
-A 预路由-i lo -j NOTRACK
-A 输出 -o lo -j NOTRACK
犯罪

*筛选
-A 输入-i lo -j 接受
-A 输入 -d 127.0.0.0/8 !-i lo -j REJECT --reject-with icmp-port-unreachable
-A 输出 -j 接受
犯罪

我之所以实施这个措施,是因为通过环回与本地服务器交互时,ip_conntrack 发生了溢出。我是否忽略了任何安全问题?

答案1

我想说不是。lo无法从外部访问,所以如果攻击者已经到了可以攻击该接口的地步,那么您已经有更大的问题需要担心了。

相关内容