В качестве обучающего опыта я создаю безопасный веб/почтовый сервер на Raspberry Pi V4. Он у меня в основном работает, но, просматривая файл sys/log, я вижу много записей, подобных следующим:
31 июля 14:04:17 EMail ядро: [ 1023.038514] iptables отклонено: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50:08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
Мой IP-адрес локальной сети — 10.0.7.0/24. Есть ли правило IPTables, которое я могу добавить для TCP и UDP, которое позволит компьютерам локальной сети получать доступ к другим адресам локальной сети? Безопасно ли это? На самом деле мне не ясно, почему этот Pi (10.0.7.92) вообще видит этот трафик? Сейчас у меня есть следующие правила IPTables для локальной сети:
ПРИНЯТЬ udp -- 10.0.7.0/24 везде udp dpt:netbios-ns
ПРИНЯТЬ udp -- 10.0.7.0/24 везде udp dpt:netbios-dgm
ПРИНЯТЬ tcp -- 10.0.7.0/24 везде tcp dpt:netbios-ssn
ПРИНЯТЬ tcp -- 10.0.7.0/24 везде tcp dpt:microsoft-ds
Спасибо за любые комментарии и предложения...RDK
решение1
Это не имеет ничего общего с почтовым сервером. Порт 5353часто используется локальными многоадресными службами DNS (mDNS). Обратите внимание, что целевой IP-адрес заканчивается на .255, скорее всего, это широковещательный адрес в вашей локальной сети, поэтому пакет был предназначен «для всех компьютеров» в локальной сети. Система с IP, 10.0.7.95похоже, поддерживает mDNS, поэтому она отправляет такие пакеты. В этом нет ничего плохого, и часто это желательно.
Если на вашем сервере нет программного обеспечения mDNS-ответчика, вы можете спокойно игнорировать эти сообщения. Это может быть хорошей идеейтишинаих, чтобы важные предупреждения не затерялись в потоке этого дерьма. Для этого можно добавить правило drop прямо перед правилом logging:
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
Чтобы определить chainи N, запустите iptables-save(без аргументов, он просто выведет полный запущенный набор правил). В его выводе найдите правило, которое создает журнал (то, которое имеет -j LOGцель), а затем выясните, в какой цепочке оно находится (то, что сразу после -A). Это ваше chainзначение. Затем вы подсчитываете его позицию в цепочке, начиная с первого правила с этим -A <chain>. Это ваше Nзначение.
Новое правило будет вставлено непосредственно перед правилом ведения журнала (в позицию N, правило ведения журнала станет следующим), поэтому пакеты на порт UDP 5353больше не будут доходить до него и не будут создавать никакого шума.
В качестве альтернативы вы можете установить ответчик mDNS иразрешатьэтот трафик (вставив аналогичное правило с -j ACCEPT, но я сомневаюсь, что вам это нужно на почтовом сервере.