В моих iptables есть следующие правила (я вырезал правила, не относящиеся к этому вопросу):
*raw :PREROUTING ACCEPT :OUTPUT ACCEPT -A PREROUTING -i lo -j NOTRACK -A OUTPUT -o lo -j NOTRACK COMMIT *filter -A INPUT -i lo -j ACCEPT -A INPUT -d 127.0.0.0/8 ! -i lo -j REJECT --reject-with icmp-port-unreachable -A OUTPUT -j ACCEPT COMMIT
Я поставил это на место, потому что у меня были переполнения на ip_conntrack из-за локального взаимодействия с сервером через loopback. Есть ли какие-то проблемы с безопасностью, которые мне здесь не хватает?
Я бы сказал нет. lo недоступен извне, поэтому, если злоумышленник дошел до точки, когда он может атаковать этот интерфейс, у вас уже есть более серьезные проблемы, о которых нужно беспокоиться.