La prima cosa principale è assicurarsi che il firewall sull'host sia configurato per eliminare correttamente i pacchetti in arrivo con l'indirizzo di origine o di destinazione impostato su 127.0.0.1.
In circostanze normali, non dovrebbe esserci alcun pacchetto proveniente dalla rete e che mostri tali indirizzi. Tuttavia, un utente malintenzionato può tentare di contraffare tali pacchetti per raggiungere i servizi di ascolto locali.
Non so quale tipo di altri servizi sono in ascolto sulla tua macchina, ma se qualsiasi servizio può essere usato come relay devi assicurarti che sia configurato correttamente per impedire di inoltrare nulla ai servizi di ascolto locali.
Ad esempio, se si dispone di un proxy HTTP in esecuzione su questo host, un utente malintenzionato può utilizzare questo proxy per richiedere l'host "127.0.0.1": dal punto di vista del firewall questa sarà una connessione valida proveniente dalla rete al proxy servizio, e localmente questa sarà una comunicazione legittima tra due servizi locali (il proxy e la porta locale designata). Il proxy HTTP qui è solo un esempio, tale tecnica può anche funzionare con altri servizi, inclusi i servizi in cui le connessioni di inoltro non sono la funzionalità principale (il L'attacco di rimbalzo FTP , ad esempio, è un classico esempio di tale minaccia).