Como experiencia de aprendizaje, estoy construyendo un servidor web/de correo electrónico seguro en una Raspberry Pi V4. Básicamente lo tengo ejecutándose, pero al mirar el archivo sys/log veo muchos registros como los siguientes:
31 de julio 14:04:17 Kernel de correo electrónico: [1023.038514] iptables denegado: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50:08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
Mi dirección IP de LAN es 10.0.7.0/24. ¿Existe alguna regla de IPTables que pueda agregar tanto para TCP como para UDP que permita a las computadoras LAN acceder a otras direcciones LAN? ¿Es seguro? En realidad, no me queda claro por qué este Pi (10.0.7.92) estaría viendo este tráfico. En este momento tengo estas reglas de IPTables basadas en LAN:
ACEPTAR udp - 10.0.7.0/24 en cualquier lugar udp dpt:netbios-ns
ACEPTAR udp - 10.0.7.0/24 en cualquier lugar udp dpt:netbios-dgm
ACEPTAR tcp - 10.0.7.0/24 en cualquier lugar tcp dpt:netbios-ssn
ACEPTAR tcp - 10.0.7.0/24 en cualquier lugar tcp dpt:microsoft-ds
Gracias por cualquier comentario y sugerencia....RDK
Respuesta1
Esto no tiene nada con el servidor de correo. El puerto 5353lo utilizan a menudo los servicios DNS de multidifusión locales (mDNS). Observe que la dirección IP de destino termina en .255, es probable que sea la dirección de transmisión en su LAN, por lo que el paquete estaba destinado "a todas las computadoras" dentro de la LAN. El sistema con IP 10.0.7.95parece soportar mDNS, por lo que envía este tipo de paquetes. Esto no es nada malo y, a menudo, deseable.
Si no tiene un software de respuesta mDNS en su servidor, puede ignorar estos mensajes de forma segura. Podría ser una buena ideasilencioellos, para que las advertencias importantes no se pierdan en la corriente de esta basura. Para esto, puede agregar la regla de eliminación justo antes de la regla de registro:
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
Para determinar chainy Nejecutar iptables-save(sin argumentos, simplemente imprimirá el conjunto de reglas de ejecución completo). En su salida, busque la regla que produce el registro (la que tiene -j LOGobjetivo) y luego averigüe en qué cadena se encuentra (la cosa que está justo después -A). Ese es tu chainvalor. Luego, cuentas su posición en la cadena, desde la primera regla con eso -A <chain>. Ese es tu Nvalor.
La nueva regla se insertará justo antes de la regla de registro (en la posición N, la regla de registro se convertirá en la siguiente), por lo que los paquetes al puerto UDP 5353ya no llegarán a él y no generarán ese ruido.
Alternativamente, puede instalar el respondedor mDNS ypermisoeste tráfico (insertando una regla similar con -j ACCEPT, pero dudo que la necesite en el servidor de correo.