作为一种学习体验,我正在 Raspberry Pi V4 上构建一个安全的 Web/电子邮件服务器。我基本上已经运行了它,但在查看 sys/log 文件时,我看到许多如下记录:
7 月 31 日 14:04:17 电子邮件内核:[1023.038514] iptables 被拒绝:IN=eth0 OUT=MAC=ff:ff:ff:ff:ff:ff:ff:b8:27:eb:1f:9e:50:08:00 SRC=10.0.7.95 DST=10.0.7.255 LEN=78 TOS=0$ $PROTO=UDP SPT=5353 DPT=5353 LEN=53
我的 LAN IP 地址是 10.0.7.0/24。是否有可以添加 TCP 和 UDP 的 IPTables 规则,允许 LAN 计算机访问其他 LAN 地址?这样安全吗?实际上我不清楚为什么这个 Pi (10.0.7.92) 会看到这种流量?目前我有这些基于 LAN 的 IPTables 规则:
接受 udp -- 10.0.7.0/24 任何地方 udp dpt:netbios-ns
接受 udp -- 10.0.7.0/24 任何地方 udp dpt:netbios-dgm
接受 tcp -- 10.0.7.0/24 任何地方 tcp dpt:netbios-ssn
接受 tcp -- 10.0.7.0/24 任何地方 tcp dpt:microsoft-ds
感谢任何评论和建议....RDK
答案1
这与邮件服务器无关。端口5353通常由本地多播 DNS 服务 (mDNS) 使用。请注意,目标 IP 地址以 结尾.255,它很可能是 LAN 中的广播地址,因此数据包的目的地是 LAN 内的“所有计算机”。具有 IP 的系统10.0.7.95似乎支持 mDNS,因此它会发送此类数据包。这没有什么错,而且通常是可取的。
如果您的服务器上没有 mDNS 响应器软件,您可以放心地忽略这些消息。安静这样,重要的警告就不会被淹没在一堆垃圾信息中。为此,您可以在日志记录规则之前添加删除规则:
iptables -I <chain> <N> -p udp --dport 5353 -j DROP -m comment --comment "silence warnings about mDNS packets"
要确定chain和N,运行iptables-save(不带参数,它只会打印完整的运行规则集)。在其输出中,找到生成日志的规则(具有-j LOG目标的规则),然后找出它位于哪个链中(紧随其后的规则-A)。这就是您的chain值。然后,从第一个具有该规则的规则开始,计算它在链中的位置-A <chain>。这就是您的N值。
新规则将被插入到日志记录规则之前(进入位置N,日志记录规则将成为下一个规则),因此到 UDP 端口的数据包5353将不再到达该端口,也不会产生任何此类噪音。
或者,你可以安装 mDNS 响应器和允许此流量(通过插入类似的规则-j ACCEPT,但我怀疑您是否需要邮件服务器上的规则。