作為學習經驗,我正在 Raspberry Pi V4 上建立安全的網路/電子郵件伺服器。我基本上已經運行了,但是在查看 sys/log 檔案時,我看到許多記錄,如下所示:
7 月31 日14:04:17 電子郵件核心:[1023.038514] iptables 被拒絕:IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50 :08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
我的 LAN IP 位址是 10.0.7.0/24。我是否可以為 TCP 和 UDP 新增 IPTables 規則,以允許 LAN 電腦存取其他 LAN 位址?安全嗎?實際上我不清楚為什麼這個 Pi (10.0.7.92) 會看到這樣的流量?現在我有這些基於 LAN 的 IPTables 規則:
接受 udp -- 10.0.7.0/24 任何地方 udp dpt:netbios-ns
接受 udp -- 10.0.7.0/24 任何地方 udp dpt:netbios-dgm
接受 tcp -- 10.0.7.0/24 任何地方 tcp dpt:netbios-ssn
接受 tcp -- 10.0.7.0/24 任何地方 tcp dpt:microsoft-ds
感謝您的任何意見和建議......RDK
答案1
這與郵件伺服器沒有任何關係。連接埠5353通常由本機多播 DNS 服務 (mDNS) 使用。請注意,目標 IP 位址以 結尾.255,它很可能是您 LAN 中的廣播位址,因此該封包的目的地是「發送至 LAN 內的所有電腦」。有IP的系統10.0.7.95好像支援mDNS,所以才會發送這種資料包。這並沒有錯,而且常常是可取的。
如果您的伺服器上沒有 mDNS 回應程式軟體,您可以安全地忽略這些訊息。這可能是個好主意安靜他們,如此重要的警告不會在這些廢話中消失。為此,您可以在日誌記錄規則之前新增刪除規則:
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
要確定chain和N,請運行iptables-save(不帶參數,它只會列印完整的運行規則集)。在其輸出中,找到產生日誌的規則(有-j LOG目標的規則),然後找出它位於哪個鏈中(緊接在後的規則-A)。這就是你的chain價值。然後,從第一條規則開始計算它在鏈中的位置-A <chain>。這就是你的N價值。
新規則將插入到日誌記錄規則之前(插入位置N,日誌記錄規則將成為下一條),因此發送到 UDP 連接埠的封包5353將不再到達該端口,也不會產生任何此類噪音。
或者,您可以安裝 mDNS 響應程式並允許此流量(通過插入類似的規則-j ACCEPT,但我懷疑您在郵件伺服器上需要它。