ошибки на lo интерфейсе

[coolman]

ошибки на lo интерфейсе, подскажите из за чего могут быть подобные?

eth0      Link encap:Ethernet  HWaddr *******
          inet addr:*****  Bcast:*****  Mask:255.255.255.128
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:257633529 errors:0 dropped:0 overruns:0 frame:0
          TX packets:325258159 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2307555014 (2.3 GB)  TX bytes:2592344867 (2.5 GB)
          Interrupt:40 Base address:0xe000

eth1      Link encap:Ethernet  HWaddr 0********
          inet addr:192.168.0.1  Bcast:192.168.0.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:192828257 errors:0 dropped:0 overruns:0 frame:0
          TX packets:142864456 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:1000
          RX bytes:2881591061 (2.8 GB)  TX bytes:2006354656 (2.0 GB)
          Interrupt:17 Base address:0x8000

lo        Link encap:Local Loopback
          inet addr:127.0.0.1  Mask:255.0.0.0
          inet6 addr: ::1/128 Scope:Host
          UP LOOPBACK RUNNING  MTU:16436  Metric:1
          RX packets:605871 errors:93 dropped:93 overruns:0 frame:0
          TX packets:605871 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:0
          RX bytes:111878709 (111.8 MB)  TX bytes:111878709 (111.8 MB)

iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

стоят самыми первыми в настройках файрвола.
ubuntu 10.10 server

[drako]

А ничего что 127.0.0.1/255.0.0.0 и lo это одно и то же?

[AnrDaemon]

iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
iptables -A INPUT -i lo -j ACCEPT
iptables -A OUTPUT -o lo -j ACCEPT

стоят самыми первыми в настройках файрвола.
ubuntu 10.10 server

Кто тебя учил правила писать? Передай ему - пусть головой о стенку стукнется.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
...
iptables -P INPUT DROP

ВСЁ!

[coolman]

Кто тебя учил правила писать? Передай ему - пусть головой о стенку стукнется.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
...
iptables -P INPUT DROP

ВСЁ!

не красиво написал, чем твои правила отличается от моих?
Получается на выход lo интерфейс не должен отвечать?
и зачем выдалпервое правило с ctstate это у меня и так есть, мы ща про lo говорим
Пользователь решил продолжить мысль [time]Fri Nov  5 11:30:58 2010[/time]:

А ничего что 127.0.0.1/255.0.0.0 и lo это одно и то же?

нет ни чего
iptables -A INPUT -s lo ! -i lo -j DROP
так красивее?  

походу гуру еще не проснулись
а уже получил 2 станных сообщения

[MaratSh]

iptables -A INPUT -s 127.0.0.1/255.0.0.0 ! -i lo -j DROP
Это правило дропает пакеты отправленные с адреса 127.0.0.1, которые пришли НЕ с интерфейса lo.

coolman показывай ВСЕ правила.

[AnrDaemon]

Кто тебя учил правила писать? Передай ему - пусть головой о стенку стукнется.

iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A INPUT -i lo -j ACCEPT
...
iptables -P INPUT DROP

ВСЁ!

не красиво написал, чем твои правила отличается от моих?
Получается на выход lo интерфейс не должен отвечать?
и зачем выдалпервое правило с ctstate это у меня и так есть, мы ща про lo говорим
Пользователь решил продолжить мысль 05 Ноября 2010, 11:30:58:

А ничего что 127.0.0.1/255.0.0.0 и lo это одно и то же?

нет ни чего
iptables -A INPUT -s lo ! -i lo -j DROP
так красивее? 

походу гуру еще не проснулись
а уже получил 2 станных сообщения

Ты бредишь.

показывай ВСЕ правила.

... подписываюсь.

[coolman]

] показывай ВСЕ правила.

Это и есть все, что касается lo и стоят самые первые, выше только тюненг ядра, может лучше его написать?

(Нажмите, чтобы показать/скрыть)

Прилетело НЛО и удалило

 Хотя я сомневаюсь, что в этой области есть гуру, иначе бы давно данный вопрос поднимали бы.
Да и в iptables,  ACCEPT DROP и все дальше ну ни как, а как же hashlimit recent и так далее? Ну ни каких  развернутых дискуссий нету.

[AnrDaemon]

ПОКАЗЫВАЙ ПРАВИЛА.
sudo iptables-save

[coolman]

ПОКАЗЫВАЙ ПРАВИЛА.
sudo iptables-save

фигушки , я больше года составлял, пора уже диссертацию писать на данную тему а ты правила показывай, мои правила, это моя интеллектуальная собственность
особых трудностей я не испытываю из-за ошибок в lo интерфейсе, и думал может кто-то уже сталкивался с данной ситуацией, и всю нужную информацию я уже давал , остальное излишне.

[kobaltd]

что вы вообще привезались к человеку с iptables ошибки RX TX это ошибки протола Ethernet (в этом случаи) и в TCP/IP они вообще не имеют никакого отношение. lo это loopback интерфейс - т.к. что смотрите в сторону dmesg и прочих логов. Как предположение во время появления ошибок у вас могла бать "сильно" загружена машина и "RX" получились битыми. А так надо копать в сторону ошибок ядра и работы loopback интерфейса.

[drako]

Боюсь для диссертации вам как до Китая пешком...
1. Зачем нужно писать дропающие правила и разрешающие одновременно, ведь есть политика по умолчанию, от неё и пляшут - разрешающие или запрещающие правила писать.
2. iptables -A INPUT -s lo ! -i lo -j DROP - вместо ерничества лучше бы в суть такой ахинеи вникли.

З.Ы. Вам уже несколько раз написали убрать "кривое" дропающее правило.
З.Ы.Ы. Некоторые видели такие ошибки

[Гарри Кашпировский]

Что это ешё за цирк Монти Пайтона?
Фигушки говоришь? Вот и помощи тебе фигушки в таком случае 

[AnrDaemon]

ПОКАЗЫВАЙ ПРАВИЛА.
sudo iptables-save

фигушки , я больше года составлял, пора уже диссертацию писать на данную тему

Ну вот и е... отсюда и до Китая. Нужная информация - это листинг всех правил, активных в системе. То, что ты давал - это вода на киселе, ни о чём не говорящая и ни на что не влияющая.

P.S.
Нет такого понятия как "интеллектуальная собственность". Собственностью может быть вещь. Знание собственностью быть не может.

[kobaltd]

Ребят я угараю  http://xgu.ru/wiki/%D0%A1%D0%B5%D1%82%D0%B5%D0%B2%D0%BE%D0%B9_%D0%B8%D0%BD%D1%82%D0%B5%D1%80%D1%84%D0%B5%D0%B9%D1%81
ну обясните мне как можно создать правила iptables которое создает errors на протоколе КАНАЛЬНОГО уровня Ethernet. Буду пользоваться - прикалываться над народом
ЗНАЧЕНИ счетчиков RX и TX а, также их подразделы error, drop и т.д. относяться к Ethernet в данном случаи, а не к TCP/IP. Если на интерфейсе поднять только IPX допустим эти значения будут и на "битой" сетки ну никак не будет зависеть от протакола. У человека проблемы есчо до того как обработка дойдет до правил iptables, а вы привезялись к правилам. Если дошло до правил -  то значит пакет уже прошол вчетчик RX. 

[coolman]

Боюсь для диссертации вам как до Китая пешком...
1. Зачем нужно писать дропающие правила и разрешающие одновременно, ведь есть политика по умолчанию, от неё и пляшут - разрешающие или запрещающие правила писать.
2. iptables -A INPUT -s lo ! -i lo -j DROP - вместо ерничества лучше бы в суть такой ахинеи вникли.

З.Ы. Вам уже несколько раз написали убрать "кривое" дропающее правило.
З.Ы.Ы. Некоторые видели такие ошибки

1. Если я уберу дроп, то по сути  127.0.0.1 может придти с внешнего интерфейса, например в случаи атаки.
2. Это шутка, ответ на второй пост.
3 Если видели, тогда подскажите, из-за чего такое может быть?
Пользователь решил продолжить мысль [time]Tue Nov  9 14:15:27 2010[/time]:

Нет такого понятия как "интеллектуальная собственность". Собственностью может быть вещь. Знание собственностью быть не может.

хорошо, тогда почему нету в интернете правил, для продвинутых пользователей, для минимизации например ддос атак?
дальше подобных правил ни куда не идет:
iptables -A INPUT -p tcp --dport 80 -m connlimit --connlimit-above 10 -j DROP

и  тупого правила:
/sbin/iptables --append lim1-m limit --limit 20/sec --jump RETURN

 когда вместо него логичнее использовать это:
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate ESTABLISHED,RELATED  -j ACCEPT
iptables -A INPUT -p tcp --dport 80 -m conntrack --ctstate NEW -m hashlimit --hashlimit-upto 6/sec --hashlimit-burst 14 --hashlimit-mode srcip --hashlimit-name not_ddos -j ACCEPT

где сложные переходы по пользовательским цепочкам, тюненг ядра на лету в случаи атаки, где комплексные механизмы ограничений по новым пакетам, не ограниченные одним двумя правилами, на ip или подсеть /24, где просто дропы пакетов с плохими флагами типо этого:
iptables -A evil -p tcp --tcp-flags SYN,ACK SYN,ACK -m conntrack --ctstate NEW -j DROP
где все это???