質問編集履歴
2
文章に誤りがあったため修正しました
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -27,7 +27,11 @@
|
|
|
27
27
|
という2つの設定をすることに意味はあるのでしょうか?
|
|
28
28
|
|
|
29
29
|
|
|
30
|
-
気になったので調べてみたところ、ループバックアドレスに対しpingを打つと送信元IPアドレス、宛先IPアドレスともに127.0.0.1になるようですが、
|
|
30
|
+
気になったので調べてみたところ、ループバックアドレスに対しpingを打つと送信元IPアドレス、宛先IPアドレスともに127.0.0.1(要は、送信元、宛先ともにループバックアドレス)になるようですが、
|
|
31
31
|
ということは、④⑨を両方とも設定した場合、④で「ループバックアドレスへのパケットを受け入れます」という設定をしておきながら、⑨では「送信元IPアドレスがループバックアドレスのパケットは破棄する」ということになり、④⑨の設定は共存できないのではないか?要は、どちらか一方の設定は無駄になるのではないか?と思えてしまうのです。
|
|
32
32
|
|
|
33
|
+
それとも、上記の
|
|
34
|
+
『__ループバックアドレスに対しpingを打つと送信元IPアドレス、宛先IPアドレスともに127.0.0.1になるようですが__』
|
|
35
|
+
というのは私の誤りで、実際は送信元IPアドレスが127.0.0.1のループバックアドレスへのパケットは悪意ある攻撃を意味するものだから、④で「ループバックアドレスへのパケットは受け入れる」と言いながら、⑨で「しかし、送信元IPアドレス127.0.0.1のループバックアドレス宛パケットは破棄する」と設定しているのでしょうか?
|
|
36
|
+
|
|
33
37
|
どなたかiptablesに詳しい方、ループバックアドレスに対しこの2つの設定を同時に行う意味を教えていただけないでしょうか。
|
1
文章に誤りがあったため修正しました
title
CHANGED
|
File without changes
|
body
CHANGED
|
@@ -18,17 +18,16 @@
|
|
|
18
18
|
「IP偽装対策としてwebサーバーでは次の設定もしたほうがいいでしょう」と前置きした上で
|
|
19
19
|
|
|
20
20
|
⑨#iptables -A INPUT -s 127.0.0.0/8 -j DROP
|
|
21
|
+
という設定をしていました。(他にもリンクローカルアドレスやプライベー
|
|
22
|
+
トIPアドレスを同様にDROP設定していた)
|
|
21
23
|
|
|
22
|
-
という設定をしていました。(他にもリンクローカルアドレスやプライベートIPアドレスを同様にDROP設定していた)
|
|
23
|
-
|
|
24
|
-
ここで疑問なのですが、
|
|
24
|
+
ここで疑問なのですが、「webサーバを構築するために」と前置きした上で、ループバックアドレスに対して
|
|
25
|
-
|
|
26
25
|
④#iptables -A INPUT -i lo -j ACCEPT
|
|
27
26
|
⑨#iptables -A INPUT -s 127.0.0.0/8 -j DROP
|
|
27
|
+
という2つの設定をすることに意味はあるのでしょうか?
|
|
28
28
|
|
|
29
|
-
という矛盾(※)した設定をしてるように見えました。
|
|
30
|
-
(※すみません、私が無知なだけで矛盾はしていないかもしれませんが、今の私の知識では矛盾したように見えるもので。)
|
|
31
29
|
|
|
30
|
+
気になったので調べてみたところ、ループバックアドレスに対しpingを打つと送信元IPアドレス、宛先IPアドレスともに127.0.0.1になるようですが、
|
|
32
|
-
ループバックアドレス
|
|
31
|
+
ということは、④⑨を両方とも設定した場合、④で「ループバックアドレスへのパケットを受け入れます」という設定をしておきながら、⑨では「送信元IPアドレスがループバックアドレスのパケットは破棄する」ということになり、④⑨の設定は共存できないのではないか?要は、どちらか一方の設定は無駄になるのではないか?と思えてしまうのです。
|
|
33
32
|
|
|
34
33
|
どなたかiptablesに詳しい方、ループバックアドレスに対しこの2つの設定を同時に行う意味を教えていただけないでしょうか。
|