Als Lernerfahrung baue ich einen sicheren Web-/E-Mail-Server auf einem Raspberry Pi V4. Er läuft grundsätzlich, aber wenn ich mir die Sys/Log-Datei anschaue, sehe ich viele Einträge wie die folgenden:
31. Juli 14:04:17 E-Mail-Kernel: [1023.038514] iptables verweigert: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50:08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
Meine LAN-IP-Adresse lautet 10.0.7.0/24. Gibt es eine IPTables-Regel, die ich sowohl für TCP als auch für UDP hinzufügen kann, damit LAN-Computer auf andere LAN-Adressen zugreifen können? Ist das sicher? Eigentlich ist mir nicht klar, warum dieser Pi (10.0.7.92) diesen Datenverkehr überhaupt sehen sollte? Im Moment habe ich diese LAN-basierten IPTables-Regeln:
AKZEPTIEREN Sie UDP - 10.0.7.0/24 überall UDP dpt:netbios-ns
AKZEPTIEREN Sie UDP - 10.0.7.0/24 überall UDP dpt:netbios-dgm
ACCEPT tcp -- 10.0.7.0/24 überall tcp dpt:netbios-ssn
ACCEPT tcp -- 10.0.7.0/24 überall tcp dpt:microsoft-ds
Danke für alle Kommentare und Vorschläge … RDK
Antwort1
Dies hat nichts mit dem Mailserver zu tun. Der Port 5353wird häufig von lokalen Multicast-DNS-Diensten (mDNS) verwendet. Beachten Sie, dass die Ziel-IP-Adresse mit endet. .255Dies ist wahrscheinlich die Broadcast-Adresse in Ihrem LAN, sodass das Paket „an alle Computer“ im LAN gerichtet war. Das System mit IP 10.0.7.95scheint mDNS zu unterstützen, sodass es diese Art von Paketen sendet. Das ist nichts Falsches und oft wünschenswert.
Wenn Sie keine mDNS-Responder-Software auf Ihrem Server haben, können Sie diese Meldungen ignorieren. Es ist vielleicht eine gute Idee,Schweigensie, damit wichtige Warnungen nicht im Strom dieses Mists verloren gehen. Dazu können Sie die Drop-Regel direkt vor der Protokollierungsregel hinzufügen:
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
Um chainund zu bestimmen N, führen Sie aus iptables-save(ohne Argumente wird einfach der komplette laufende Regelsatz gedruckt). Suchen Sie in der Ausgabe die Regel, die das Protokoll erzeugt (die mit dem -j LOGZiel), und finden Sie dann heraus, in welcher Kette sie sich befindet (das Ding direkt nach -A). Das ist Ihr chainWert. Dann zählen Sie ihre Position in der Kette, ausgehend von der ersten Regel mit diesem -A <chain>. Das ist Ihr NWert.
Die neue Regel wird direkt vor der Protokollierungsregel eingefügt (an der Position N, die Protokollierungsregel wird die nächste), sodass Pakete an den UDP-Port 5353diese nicht mehr erreichen und keine derartigen Störungen erzeugen.
Alternativ können Sie mDNS-Responder installieren underlaubendiesen Datenverkehr (indem Sie eine ähnliche Regel mit einfügen -j ACCEPT, aber ich bezweifle, dass Sie das auf dem Mailserver brauchen.