学習体験として、Raspberry Pi V4 上に安全な Web/メール サーバーを構築しています。基本的には実行していますが、sys/log ファイルを見ると、次のようなレコードが多数あります。
7月31日 14:04:17 Eメールカーネル: [ 1023.038514] iptablesが拒否されました: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50:08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
私の LAN IP アドレスは 10.0.7.0/24 です。TCP と UDP の両方に追加できる IPTables ルールがあり、LAN コンピューターが他の LAN アドレスにアクセスできるようになりますか? 安全ですか? 実際のところ、この Pi (10.0.7.92) がこのトラフィックをなぜ見ているのか私にはわかりません。現在、私は次の LAN ベースの IPTables ルールを持っています:
ACCEPT udp -- 10.0.7.0/24 どこでも udp dpt:netbios-ns
ACCEPT udp -- 10.0.7.0/24 どこでも udp dpt:netbios-dgm
受け入れる tcp -- 10.0.7.0/24 どこでも tcp dpt:netbios-ssn
受け入れる tcp -- 10.0.7.0/24 どこでも tcp dpt:microsoft-ds
コメントや提案をいただければ幸いです。RDK
答え1
これはメール サーバーとは何の関係もありません。ポートは、5353ローカル マルチキャスト DNS サービス (mDNS) によってよく使用されます。ターゲット IP アドレスが で終わることに注意してください。.255これは LAN 内のブロードキャスト アドレスである可能性が高いため、パケットは LAN 内の「すべてのコンピューター」宛てになっています。IP を使用するシステムは10.0.7.95mDNS をサポートしているようなので、この種類のパケットを送信します。これは何も悪いことではなく、多くの場合望ましいことです。
サーバーにmDNSレスポンダーソフトウェアがない場合、これらのメッセージは無視しても問題ありません。沈黙重要な警告がこのくだらない流れの中で失われないようにします。そのためには、ログ記録ルールの直前にドロップ ルールを追加できます。
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
chainとを決定するにはN、 を実行しますiptables-save(引数を指定しないと、実行中の完全なルールセットが印刷されます)。その出力で、ログを生成するルール (-j LOGターゲットを持つルール) を見つけ、そのルールがどのチェーンにあるか ( の直後のもの-A) を調べます。それがchain値です。次に、 を持つ最初のルールからチェーン内での位置を数えます-A <chain>。それがN値です。
新しいルールは、ログ記録ルールの直前に挿入されます (位置N、ログ記録ルールが次のルールになります)。そのため、UDP ポートへのパケットは5353そのポートに到達しなくなり、そのようなノイズは生成されなくなります。
あるいは、mDNSレスポンダーをインストールして許可するこのトラフィック (と同様のルールを挿入することによって) です-j ACCEPTが、メール サーバー上でそれが必要なのか疑問です。