Боюсь для диссертации вам как до Китая пешком...
1. Зачем нужно писать дропающие правила и разрешающие одновременно, ведь есть политика по умолчанию, от неё и пляшут - разрешающие или запрещающие правила писать.
2. iptables -A INPUT -s lo ! -i lo -j DROP - вместо ерничества лучше бы в суть такой ахинеи вникли.
З.Ы. Вам уже несколько раз написали убрать "кривое" дропающее правило.
З.Ы.Ы. Некоторые видели такие ошибки
1. Если я уберу дроп, то по сути 127.0.0.1 может придти с внешнего интерфейса, например в случаи атаки.
2. Это шутка, ответ на второй пост.
3 Если видели, тогда подскажите, из-за чего такое может быть?
Пользователь решил продолжить мысль [time]Tue Nov 9 14:15:27 2010[/time]:
Нет такого понятия как "интеллектуальная собственность". Собственностью может быть вещь. Знание собственностью быть не может.
хорошо, тогда почему нету в интернете правил, для продвинутых пользователей, для минимизации например ддос атак?
дальше подобных правил ни куда не идет:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP
и тупого правила:
/sbin/iptables --append lim1-m limit --limit 20/sec --jump RETURN
когда вместо него логичнее использовать это:
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 14 --hashlimit-mode srcip --hashlimit-name not_ddos -j ACCEPT
где сложные переходы по пользовательским цепочкам, тюненг ядра на лету в случаи атаки, где комплексные механизмы ограничений по новым пакетам, не ограниченные одним двумя правилами, на ip или подсеть /24, где просто дропы пакетов с плохими флагами типо этого:
iptables -A evil -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j DROP
где все это???