Что такое firewall-cmd для настройки iptables для отбрасывания широковещательных рассылок NetBIOS?

Question

Что такое firewall-cmd для настройки iptables для отбрасывания широковещательных рассылок NetBIOS?

У меня есть сервер CentOS 7 в локальной сети вместе с машинами Windows.

Я включил регистрацию в iptables пакетов, которые должны быть отклонены или отброшены

firewall-cmd --set-log-denied=all

Это добавляет соответствующие правила ведения журнала iptables. Например, в конце цепочки FORWARD:

LOG        all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID LOG flags 0 level 4 prefix "STATE_INVALID_DROP: "
DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "FINAL_REJECT: "
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

Однако теперь журнал ядра (или, вернее, журнал) регистрирует множество пакетов от разных машин Windows, получающих отклонение, точнее, широковещательную рассылку NetBIOS (UDP на порт 137 и 138 по широковещательному адресу подсети), которая не заинтересована ни одной службой на компьютере Linux. в.

Я хочу просто отбросить эти пакеты без лишних слов даже до того, как они будут зарегистрированы.

FINAL_REJECT: IN=ens160 OUT= MAC=ff:ff:ff:ff:ff:ff:XX:XX:XX:XX:XX:XX:08:00 SRC=10.10.2.74 DST=10.10.2.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=32306 PROTO=UDP SPT=137 DPT=137 LEN=58

Что firewall-cmd сделать это правильно?

1

iptables firewall netbios

Источник

David Tonhofer 03 янв '18 в 12:23

1 ответ

Другие вопросы по тегам iptables firewall netbios

Michael Hampton 03 янв '18 в 15:46 2018-01-03 15:46 · Answer 1 · 2018-01-03 15:46

Вместо того, чтобы регистрировать каждый отброшенный пакет, вы можете настроить firewalld так, чтобы он не регистрировал широковещательные или многоадресные пакеты, такие как тот, который вы указали в качестве примера в своем вопросе.

Для этого используйте --set-log-denied=unicast,

firewall-cmd --set-log-denied=unicast

Теперь журналы будут содержать только запрещенный трафик, направленный на ваш хост.

Со страницы руководства:

--set-срубы отказано = значение
Добавьте правила ведения журнала непосредственно перед отклонением и удалением правил в цепочках INPUT, FORWARD и OUTPUT для правил по умолчанию, а также окончательных правил отклонения и отбрасывания в зонах для настроенного типа пакета канального уровня. Возможные значения: все, одноадресная, широковещательная, многоадресная и выключена. Настройка по умолчанию отключена, что отключает ведение журнала.
Это изменение времени выполнения и постоянное изменение, которое также перезагрузит брандмауэр, чтобы можно было добавить правила ведения журнала.