Я думаю, что если бы вы использовали еще две строки, как показано ниже, то описанные вами события будут заблокированы:
-A INPUT -4 ! -i lo -d 127.0.0.0/8 -j REJECT -A INPUT -6 ! -i lo -d ::1/128 -j REJECT -A INPUT -i lo -j ACCEPT
Большинство настроек iptable содержат INPUT -i lo -j ACCEPT
правило. Без этого довольно сложно подключиться к любому локально размещенному материалу. Однако, что мне не совсем ясно - локально запущенный процесс - единственный способ поймать эту строку? Я имею в виду, может ли он использоваться чем-то вроде доставки специально созданного пакета с src ip 127.0.0.1, dst 127.0.0.1, когда на некоторых интерфейсах включена пересылка ip?
Я думаю, что если бы вы использовали еще две строки, как показано ниже, то описанные вами события будут заблокированы:
-A INPUT -4 ! -i lo -d 127.0.0.0/8 -j REJECT -A INPUT -6 ! -i lo -d ::1/128 -j REJECT -A INPUT -i lo -j ACCEPT