[问题求助]什么情况下要特别定义环回地址策略？ [复制链接]

什.么情况下要特别定义环回地址策略？--------------彩票

以下几句有.什么实际用处？我去掉后也正常啊。             电子
/sbin/iptables -t filter -A INPUT -p ALL -.i lo -s 127.0.0.1 -j ACC.EPT虚拟主机
/sbin/iptables -t.. filter -A INPUT -p ALL -i lo -s 192.168.0.2 -j ACCEPT              乙肝
/sbin/iptables -t filter -A INPUT -p ALL -i lo .-s 10.10.10.1. -j ACCEPT.

QUOTE:原帖由 ljj1998 于 2006-6-8 07:56 发表
什么情况下要特别定义环回地址策略？

以下几句有什么实际用处？我去掉后也正常啊。
/sbin/iptables -t filter -A INPUT -p ALL -i lo -s 127.0.0.1 -j ACCEPT
/sbin/iptables -t filter -A INPUT -p ALL -i  ...


当你自己主机连结自己主机 ip 时就会知道用途了。

请测试一下两种设定结果:

iptables -P INPUT DROP

ping 127.0.0.1

ping 192.168.1.1  # 192.168.1.1 是自己主机网路卡 ip
复制代码
iptables -P INPUT DROP

iptables -A INPUT  -i lo -j ACCEPT

ping 127.0.0.1

ping 192.168.1.1  # 192.168.1.1 是自己主机网路卡 ip
复制代码

注意要使用之前，先把预先设定好 rule 清除后再测试。

==

第一个不通，因为DROP了，而第二种通，因为ACCEPT了。
但我的疑惑是这样做有什么意义呢？
据有些文章说要在INPUT和OUTPUT中打开LO环回才能转发包，
而我做过echo "1" > /proc/sys/net/ipv4/ip_forward后不是已经打开转发了？
二者有什么关系？我现在没机子了，也做不成试验，谁试试看后告诉我。

第一个不通，因为DROP了，而第二种通，因为ACCEPT了。
但我的疑惑是这样做有什么意义呢？
据有些文章说要在INPUT和OUTPUT中打开LO环回才能转发包，
而我做过echo "1" > /proc/sys/net/ipv4/ip_forward后不是已经打开转发了？
二者有什么关系？我现在没机子了，也做不成试验，谁试试看后告诉我。

最简单的，当你需要用到 xwindow 的时候，就需要打开回环地址
同理，其他一些应用，比如 Oracle 也需要用到

这样说吧，本机不设防有听过吧？

你自己的主机连结自己的 ip，你认为需要设定禁止吗？通常都是没必要的，所以要允许 lo interface 本身可以存取，这样自己连结自己才不会受到限制。

至于 lo 这个 loopback interface 与 ipv4 forwarding 设定基本上没有任何关系，所以请忽略你在网路上看到所谓的的讨论。

==

应该是这样.白金说的XWIN只是本机应用的一种

QUOTE:原帖由 ljj1998 于 2006-6-28 09:06 发表
第一个不通，因为DROP了，而第二种通，因为ACCEPT了。
但我的疑惑是这样做有什么意义呢？
据有些文章说要在INPUT和OUTPUT中打开LO环回才能转发包，
而我做过echo "1" > /proc/sys/net/ipv4/ip_fo ...


很多网络应用程序，是把本机也看做一个网络节点来对待的。。。比如我要用mysql， 那么我怎么用客户端工具来连接它呢？所以就有了-h localhost（localhost就是 127.0.0.1） 一说，当然这个是默认的，真正使用的时候省略了此参数时就是默认连它。

那么这样做有什么好处呢？
1.对应用程序的开发来说简单化了，可以把本机也视作网络节点来对待，不必要单独为本机对程序的操作而独立地写上很多代码和程序；

2.不这样做有什么影响呢？很多时候，我们虽然连上了外网，但是对应用程序的连接是本地的。就如1提到的一样，我连的本地的mysql等。。。 虽然此时理论上而言，用网卡的ip地址也是可以成功连接的（mysql是个特例，它的默认root用户和某些版本的安全设置默认是设置了只监听lo的），但是，这样一来，不论是我们对应用程序的操作，还是应用数据的反馈，都跑到网卡上去绕了一圈。不光是浪费了网卡的吞吐量，也浪费了从主板-->网卡-->主板的资源和请求时间。就在本机硬盘上的网络程序，由于第1点提到的程序开发方便性，竟然让程序去网卡上绕一圈实在是很讽刺的事吧？ 于是就有了lo的诞生。。。

当然，以上2点只是简单提及，打字太麻烦了。。。 举一反三，想想如果没有lo这个接口会带来什么麻烦就晓得该怎么样利用它了。 至于限制么。。。  根据你的特殊需要而定了哦。。。。 比如你想要不露声色地让其他客户端可以使用某程序，而本机却无法操作的时候。。。。（当然，这样做后果自负，因为很多时候程序本身也是要利用lo这个端口来进行一些中间数据的传递的）

补充一下，昨天后来看了一些资料，在做负载均衡的时候， 用户访问我们服务器的那个ip我们把他看作来访ip， 然后我们的负载控制器我们假设为ctrl ip， 真实的服务器们的网卡ip为 real ip， 那么此时，为了达到3种负载均衡方式之一的ds方式， 就需要将 real server（真实服务器）上lo 地址，此时就不设置为127.0.0.1了，而是设置为 用户访问的服务器ip。

可参考 http://bbs.chinaunix.net/viewthr ... &extra=page%3D1
其中楼主的疑问，以及我在最后给出的解析和 http://www.xxlinux.com/linux/art ... /20060707/2519.html 这文章的link

[ 本帖最后由 skylove 于 2006-7-13 13:49 编辑 ]