학습 경험으로 저는 Raspberry Pi V4에 보안 웹/이메일 서버를 구축하고 있습니다. 기본적으로 실행 중이지만 sys/log 파일을 보면 다음과 같은 많은 레코드가 표시됩니다.
7월 31일 14:04:17 이메일 커널: [ 1023.038514] iptables 거부됨: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50:08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
내 LAN IP 주소는 10.0.7.0/24입니다. LAN 컴퓨터가 다른 LAN 주소에 액세스할 수 있도록 TCP와 UDP 모두에 추가할 수 있는 IPTables 규칙이 있습니까? 안전 해요? 실제로 이 Pi(10.0.7.92)가 왜 이 트래픽을 보는지 명확하지 않습니다. 현재 다음과 같은 LAN 기반 IPTables 규칙이 있습니다.
udp 허용 -- 10.0.7.0/24 어디서나 udp dpt:netbios-ns
udp 허용 -- 10.0.7.0/24 어디서나 udp dpt:netbios-dgm
tcp 허용 -- 10.0.7.0/24 어디서나 tcp dpt:netbios-ssn
tcp 허용 -- 10.0.7.0/24 어디서나 tcp dpt:microsoft-ds
의견과 제안을 보내주셔서 감사합니다....RDK
답변1
메일 서버에는 아무 것도 없습니다. 포트는 5353로컬 멀티캐스트 DNS 서비스(mDNS)에서 자주 사용됩니다. 대상 IP 주소는 로 끝나며 .255LAN의 브로드캐스트 주소일 가능성이 높으므로 패킷은 LAN 내의 "모든 컴퓨터"로 향하게 됩니다. IP가 있는 시스템은 10.0.7.95mDNS를 지원하는 것 같아서 이런 패킷을 보낸다. 이는 잘못된 것이 아니며 종종 바람직합니다.
서버에 mDNS 응답기 소프트웨어가 없으면 이 메시지를 무시해도 됩니다. 하는 것이 좋은 생각일 수도 있습니다고요그래서 중요한 경고가 이 쓰레기의 흐름 속에서 사라지지 않을 것입니다. 이를 위해 로깅 규칙 바로 앞에 삭제 규칙을 추가할 수 있습니다.
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
chain및 를 결정하려면 N실행하십시오 iptables-save(인수 없이 실행 중인 전체 규칙 세트만 인쇄합니다). 출력에서 로그를 생성하는 규칙( -j LOG대상이 있는 규칙)을 찾은 다음 그것이 어떤 체인에 있는지(바로 뒤에 있는 것 -A) 알아냅니다. 그것이 당신의 chain가치입니다. 그런 다음 첫 번째 규칙부터 체인 내 위치를 계산합니다 -A <chain>. 그것이 당신의 N가치입니다.
새 규칙은 로깅 규칙 바로 앞에 삽입되므로(위치에 N로깅 규칙이 다음 규칙이 됨) UDP 포트에 대한 패킷이 5353더 이상 해당 포트에 도달하지 않으며 그러한 소음이 발생하지 않습니다.
또는 mDNS 응답기를 설치하고허용하다이 트래픽( 과 유사한 규칙을 삽입 -j ACCEPT하지만 메일 서버에 그런 규칙이 필요한지 의심스럽습니다.