Eu uso o iptables para registrar todas as conexões de entrada. Ao percorrer o log em var/log/messages , percebo que há algumas conexões de entrada de outro computador para um endereço IP da LAN não atribuído, por exemplo:
Jan 7 23:31:28 some kernel: [ 1863.117105] IPTABLES: IN=wlan0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:12:34:56:e1:e1:08:00 SRC=192.168.1.12 DST=192.168.1.255 LEN=239 TOS=0x00 PREC=0x00 TTL=128 ID=37 PROTO=UDP SPT=138 DPT=138 LEN=219
A minha pergunta é, se essas conexões não são destinadas ao meu servidor, por que elas estão logadas em INPUT? Se eles estão sendo registrados, isso significa que o meu servidor está aceitando-os se eu não os filtrar explicitamente? Minha configuração atual do iptables é:
*filter
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -i lo -j ACCEPT
-A INPUT -j LOG --log-prefix "IPTABLES: " --log-level info
-A INPUT -p icmp -j ACCEPT
-A INPUT -p tcp --dport 80 -j ACCEPT
Isso significa que eu tenho que adicionar um -d à última regra como em:
-A INPUT -p tcp -d 192.168.1.1 --dport 80 -j ACCEPT
para filtrar conexões não destinadas ao meu servidor?
Isso é fazer o log de um pacote para 192.168.2.255, assumindo que yoy tenha uma máscara de 24 bits, então isso significa que é o endereço de broadcast. As transmissões são enviadas para todos os computadores da rede.
Este pacote em particular é quase certamente uma máquina do Windows que anota seu nome na rede.
Supondo que você esteja usando uma rede / 24, então seu sistema está aceitando esse pacote porque é para o 192.168.1 / 24 endereço de broadcast 192.168.1.255 que isso seria normal.
Tags iptables linux-networking