如何禁止外部访问 127.0.0.1？

Question 1

一般情况下，无法localhost从外部地址访问仅绑定到的服务。SF 是相当充足和如何扭转这种状况，以及实现这一目标所需的体操，这些问题并不简单，因为整个绑定概念的localhost设计就是为了给你提供安全性，而无需多言。

Answer

一般情况下，无法localhost从外部地址访问仅绑定到的服务。SF 是相当充足和如何扭转这种状况，以及实现这一目标所需的体操，这些问题并不简单，因为整个绑定概念的localhost设计就是为了给你提供安全性，而无需多言。

Question 2

您可以创建防火墙规则来阻止此类流量，但启用反向路径过滤会更容易。

(root)$ echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter

反向路径过滤使用路由表来过滤传入数据包中的欺骗地址。

您可以通过在 /etc/systcl.conf 中添加以下内容在所有接口上默认启用此功能：

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

然而...

正如 MadHatter 所提到的，这对于 127.0.0.1/8 来说完全没有必要。（如果您愿意，可以使用记录这些数据包net.ipv4.conf.all.log_martians = 1）。

Answer

您可以创建防火墙规则来阻止此类流量，但启用反向路径过滤会更容易。

(root)$ echo 1 > /proc/sys/net/ipv4/conf/eth0/rp_filter

反向路径过滤使用路由表来过滤传入数据包中的欺骗地址。

您可以通过在 /etc/systcl.conf 中添加以下内容在所有接口上默认启用此功能：

net.ipv4.conf.default.rp_filter=1
net.ipv4.conf.all.rp_filter=1

然而...

正如 MadHatter 所提到的，这对于 127.0.0.1/8 来说完全没有必要。（如果您愿意，可以使用记录这些数据包net.ipv4.conf.all.log_martians = 1）。

相关内容