过滤进入 UDP 端口的流量，以符合 pci 规范

Question

如何完成你要求的事情：
在 CentOS 中，防火墙由 IPTables / netfilter 控制。虽然你可以添加一条规则来阻止 UDP 端口 5353 流量（以及传统的状态规则）：

iptables -A INPUT -p udp -m udp --dport 5353 -m state --state NEW -j DROP

为什么你不应该按照你要求的那样做：
但是，我认为 PCI 合规性要求您的防火墙具有默认拒绝策略，这意味着您应该丢弃特定规则不允许的所有流量，因此不需要像上面那样的特定规则。您可以在 IPTables 中通过将 DROP 作为默认规则或在防火墙底部添加 DROP 规则来执行此操作。此外，这种过滤可能应该已经在防火墙上而不是服务器上进行。如果您的防火墙是 CentOS，则这些规则将位于 FORWARD 链上，而不是 INPUT 链上。

您可能需要外部帮助：
从您问题的级别以及实施全面 PCI 合规性的复杂性来看，我感觉您在这方面有点力不从心。这并不代表您是个坏人或工作不力。但是，就像您在这里寻求具体帮助一样（这是一件好事，也值得称赞的是，您没有忽略这是为了 PCI 合规性），我建议您从顾问那里获得更多有关 PCI 实施以及整个项目的帮助。如果经过一段时间的思考后您觉得这是真的，那么您实际上是在尽最大努力完成工作，承认寻求外部帮助对公司最有利。

Answer 1

如何完成你要求的事情：
在 CentOS 中，防火墙由 IPTables / netfilter 控制。虽然你可以添加一条规则来阻止 UDP 端口 5353 流量（以及传统的状态规则）：

iptables -A INPUT -p udp -m udp --dport 5353 -m state --state NEW -j DROP

为什么你不应该按照你要求的那样做：
但是，我认为 PCI 合规性要求您的防火墙具有默认拒绝策略，这意味着您应该丢弃特定规则不允许的所有流量，因此不需要像上面那样的特定规则。您可以在 IPTables 中通过将 DROP 作为默认规则或在防火墙底部添加 DROP 规则来执行此操作。此外，这种过滤可能应该已经在防火墙上而不是服务器上进行。如果您的防火墙是 CentOS，则这些规则将位于 FORWARD 链上，而不是 INPUT 链上。

您可能需要外部帮助：
从您问题的级别以及实施全面 PCI 合规性的复杂性来看，我感觉您在这方面有点力不从心。这并不代表您是个坏人或工作不力。但是，就像您在这里寻求具体帮助一样（这是一件好事，也值得称赞的是，您没有忽略这是为了 PCI 合规性），我建议您从顾问那里获得更多有关 PCI 实施以及整个项目的帮助。如果经过一段时间的思考后您觉得这是真的，那么您实际上是在尽最大努力完成工作，承认寻求外部帮助对公司最有利。

过滤进入 UDP 端口的流量，以符合 pci 规范

答案1

相关内容