iptables为什么需要增加loopback回环的规则

最新推荐文章于 2023-06-06 09:00:00 发布
最新推荐文章于 2023-06-06 09:00:00 发布
阅读量1.5k 收藏 1
点赞数 1
分类专栏: linux 技术
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/okhymok/article/details/95365804
版权

先说loopback回环的大致个人理解:

1、lo的主要作用是基于本地访问本地的数据包会经过lo这张网卡。

2、比如ping 127.0.0.1时,你在eth0抓不到,只能在lo这张网卡捕获。

再来看下简单的iptables的几个链的规则:

  • PREROUTING:在做出路由决策之前,数据包将进入此链。
  • INPUT:数据包将在本地交付。它与打开套接字的进程没有任何关系; 本地交付由“本地交付”路由表控制:  ip route show table local
  • FORWARD:所有已路由但不用于本地传递的数据包将遍历此链。
  • OUTPUT:从机器本身发送的数据包将访问此链。
  • POSTROUTING:路由决定已经做出。数据包在将它们交给硬件之前进入该链。

那么下面来看下为什么需要再iptables增加lo的访问:

1、如果我们在iptables设置了防火墙,一般防火墙会放在默认规则里面:iptables -P INPUT DROP,注意这里的-P是默认规则的意思,顺序在最后,且链表为filter。

2、那么如果要能在本机可以ping通本机,那么需要将lo的访问规则打开:iptables -A INPUT -i lo -j ACCEPT

3、通过上面可以看出,iptables做防火墙的特性,不需要指定非默认规则,默认规则对于iptables来说是最后才执行,但凡有一个匹配到就不往下执行,所以此时ping本机可以通。

4、在网上很多只是增加了这两条规则:

iptables -A INPUT -i lo -j ACCEPT

iptables -A OUTPUT -o lo -j ACCEPT

而没有真正说明为什么要这样加,其实这样加主要还是因为限制的防火墙规则后这两台才生效。

5、很多情况是在转发上会用到,其实如果不增加防火墙规则时,这一点的意义不太大。

6、所以,只要是本机进程内相互访问的,都会去到lo这张网卡上,所以在外部IP时对于iptables选择的是eth0这样的网卡,要捕获本机时是lo这个网卡。

okhymok
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Redirect traffic to loopback
IceSword
08-29 1234
Iptebales提供的功能中其中一个是NAT网络地址转换,网络地址转换使用的场景通常是一个公网IP情况下供内网中多台主机连接外网,但是在极少数情况下会用在一台主机内网络流量重定向,比如将在本机回环设备中的数据包强行转发到另一台主机上。结果发现原本在正常的NAT场景中生效的iptables规则loopback数据包的转发中并不起作用,原因是如果想要转发lo设备中的网络流量需要修改一个内核参数rou
学习笔记——路由网络基础——环回接口(loopback)
最新发布
灵韵的博客
06-09 2619
整个华为数通学习笔记系列中,本人是以网络视频与网络文章的方式自学的,并按自己理解的方式总结了学习笔记,某些笔记段落中可能有部分文字或图片与网络中有雷同,并非抄袭。逻辑接口是指能够实现数据交换功能但物理上不存在、需要通过配置建立的接口,需要承担业务传输,例如VLANIF接口、Loopback接口。物理接口是指网络设备上实际存在的接口,分为负责承担业务传输的业务接口和负责管理设备的管理接口,例如GE业务接口和MEth管理接口。是一种虚拟的接口,是一种纯软件性质的虚拟接口,模拟一个单独的网段。
NAT loopback
瑞风轻拂
01-22 7059
DMZ和Virtual server做的都是DNAT,即从wan口访问router/gate-way的某服务端口,其实是向router/gate-way内部网络的某设备/pc上的相对应的服务。且只能是wan端的客户访问lan端的服务才有这种端口转发/端口映射的关系,lan端的客户以router/gate-way的wan端地址是访问不了lan端的服务的(如果要实现此功能,也即所谓的NAT loo
iptables详解及一些常用规则
tpriwwq的专栏
06-19 5361
iptables功能及配置
【运维知识进阶篇】iptables防火墙详解(iptables执行过程+表与链概述+iptables命令参数+配置filter表规则+NAT表实现共享上网、端口转发、IP映射)
吾日三省吾身,想出类拔萃,要把知识学牢,学全,学深,学广。
06-06 9431
这篇文章给大家介绍下iptables防火墙,防火墙大致分三种,分别是硬件、软件和云防火墙。硬件的话部署在企业网络的入口,有三层路由的H3C、华为、Cisco(思科),还有深信服等等;软件的话一般是开软件,写在网站内部,最常见的有iptables(写入Linux内核)和firewalld(CentOS7有的),云防火墙就是阿云业务的防火墙安全组等等。
linux增加iptables防火墙规则的示例
09-15
主要介绍了linux增加iptables防火墙规则的示例,大家在使用的时候要把规则后的中文注释去掉
Shell脚本实现监控iptables规则是否被修改
09-15
主要介绍了Shell脚本实现监控iptables规则是否被修改,本文直接给出实现代码,需要的朋友可以参考下
详解Linux iptables常用防火墙规则
09-14
IPTABLES 是与最新的 3.5 版本 Linux 内核集成的 IP 信息包过滤系统。这篇文章主要介绍了Linux iptables常用防火墙规则,需要的朋友可以参考下
Linux为FTP服务器添加iptables规则–案例分析
01-09
后来谷歌后,发现ftp的iptables 规则比其它应用不太像,有点特别。需要特别的修改下防火墙。(询问后,得知之前其它运维同事加固过该机器的防火墙….)  二、解决方式  1.在原有的防火墙规则中加入以下规则。 ...
linux下IPTABLES配置详解(防火墙)
choukuad381324的博客
09-18 1033
转自http://www.cnblogs.com/JemBai/archive/2009/03/19/1416364.html 关闭防火墙: service iptables stop chkcon...
tcpdump使用
Zerore的博客
11-01 303
tcpdump命令行的使用 核心参数 命令的基本形式: tcpdump option proto dir type tcpdump option proto dir type -aAbdDefhHIJGLnNK… tcp, udp, icmp ip, ip6 arp, rarp ether, wlan src dst , src or dst host net port portrange option可选参数 proto类过滤器: 根据协议进行过滤,可识别的关键字有: tcp,
Linux系统的回环测试接口是,回环接口(loopback
weixin_35529551的博客
05-13 2373
1 引子最近搭建web集群环境,采用了LVS+Keepalived+Nginx+Tomcat的框架。在Realserver端需要用到回环接口(loopbak)。这就简单介绍一下Linux和windows下的回环接口。2介绍Loopback接口是虚拟接口,是一种纯软件性质的虚拟接口。任何送到该接口的网络数据报文都会被认为是送往设备自身的。大多数平台都支持使用这种接口来模拟真正的接口。这样做的好处是...
用IP地址的用途理解Loopback接口
互联网
10-04 2042
1.问题IP地址到底是属于主机的还是属于网卡的?这个问题有点太学院派了,现实中,只要懂得IP地址的概念以及IP路由,基本上没有问题。IP作为一个网络层协议,它更多的意义在于寻址而不是标识主机,因此你可以认为IP是属于网卡的。 然而不同的人对于IP地址有不同的看法,程序员看来,IP地址是属于主机的,因为他们总是用一个套接字来表示一个服务,套接字中的IP地址表示一台主机,协议和端口号表示了该主机上的一...
在Linux中创建回环设备(loopback device)的方法
热门推荐
白马负金羁
12-15 2万+
你有没有想过在Linux的文件管理系统中再创建一个文件系统,就像在Windows中创建一个新的磁盘分区那样(但其实并不必非得直接那么做)。这时你就需要用到回环设备(loop device)。在Linux中,回环设备允许用户以一个普通磁盘文件虚拟一个块设备
iptables_默认规则
weixin_30376163的博客
08-25 256
ZC:prohibited禁止 1、http://blog.csdn.net/kunatnet/article/details/44650387 :INPUT ACCEPT [0:0] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [0:0] -A INPUT -m state --state ESTABLISHED,RELATED -...
LINUX防火墙---IPTABLES练习
weixin_50904580的博客
02-06 1371
说明:以下练习INPUT和OUTPUT默认策略均为DROP [root@centos8 ~]#iptables -A INPUT -s 10.0.0.1 -j ACCEPT [root@centos8 ~]#iptables -A OUTPUT -d 10.0.0.1 -j ACCEPT [root@centos8 ~]#iptables -P INPUT DROP [root@centos8 ~]#iptables -P OUTPUT DROP [root@centos8 ~]#iptables -vn
iptables修改数据包_Linux安全防范:详解iptables防火墙规则
weixin_42302638的博客
01-15 2064
我们知道iptables是按照规则来办事的,规则其实就是网络管理员预定义的条件,以下为iptables规则内容iptables规则iptables默认有3个规则链,分别是INPUT(输入),OUTPUT(输出),FORWARD(转发)-A:追加规则-I:新增规则-D:删除规则-R:修改规则-L:查看规则-N:定义新的规则链-p:指定协议类型-d:指定目标地址-s:指定来地址-i:指定入口网卡-o...
iptables 配置出站规则需要注意的事项
07-14
在配置 iptables 的出站规则时,有几个注意事项需要考虑: 1. 了解网络需求:在设置出站规则之前,要明确了解你的网络需求。确定需要允许哪些出站连接,以及需要禁止哪些出站连接。 2. 默认策略:iptables 有三种默认策略,即 ACCEPT、DROP 和 REJECT。在设置出站规则之前,应该确定默认策略是允许还是拒绝出站连接。一般情况下,建议将默认策略设置为拒绝 (DROP),然后根据需要添加允许的规则。 3. 顺序规则iptables规则的处理是按照从上到下的顺序进行的。如果一个数据包匹配到一条规则,并且该规则的动作是 ACCEPT 或 DROP,那么后续的规则将不会再被应用。因此,在配置出站规则时,应该根据优先级和逻辑关系合理地安排规则的顺序。 4. 具体端口和 IP:在设置出站规则时,要明确指定要允许或禁止的端口和 IP 地址。这样可以精确控制出站连接的目标。 5. 安全性考虑:在配置出站规则时,要考虑网络安全因素。只允许必要的出站连接,并限制访问范围,以减少潜在的风险。 6. 持久化保存规则:默认情况下,iptables 规则是临时生效的,重启系统后会失效。为了使规则永久生效,可以使用 iptables-persistent 工具将规则保存到文件中,并在系统启动时加载规则。 7. 测试与验证:在配置出站规则后,建议进行测试和验证,确保规则按预期生效,并且不会影响正常的网络通信。 总之,配置出站规则需要根据实际需求和安全考虑,合理设置规则顺序和动作,并进行测试与验证,以确保网络的安全性和可靠性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值