O que é o firewall-cmd para configurar o iptables para descartar transmissões de NetBIOS?

1

Eu tenho um servidor CentOS 7 em uma LAN junto com máquinas Windows.

Eu mudei o log em iptables de pacotes "to-be-rejected" ou "to-be-dropped" usando

firewall-cmd --set-log-denied=all

Isso adiciona as regras apropriadas de registro do iptables. Por exemplo, no final da cadeia FORWARD:

LOG        all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID LOG flags 0 level 4 prefix "STATE_INVALID_DROP: "
DROP       all  --  0.0.0.0/0            0.0.0.0/0            ctstate INVALID
LOG        all  --  0.0.0.0/0            0.0.0.0/0            LOG flags 0 level 4 prefix "FINAL_REJECT: "
REJECT     all  --  0.0.0.0/0            0.0.0.0/0            reject-with icmp-host-prohibited

No entanto, agora o log do kernel (ou melhor, o diário) registra muitos pacotes das diversas máquinas Windows sendo rejeitados, mais precisamente transmissões de NetBIOS (UDP para as portas 137 e 138 no endereço de broadcast da sub-rede) que nenhum serviço no Linux caixa está interessado em.

Eu quero apenas descartar esses pacotes sem mais delongas, mesmo antes de serem registrados.

FINAL_REJECT: IN=ens160 OUT= MAC=ff:ff:ff:ff:ff:ff:XX:XX:XX:XX:XX:XX:08:00 SRC=10.10.2.74 DST=10.10.2.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=32306 PROTO=UDP SPT=137 DPT=137 LEN=58

O que é o firewall-cmd para fazer isso corretamente?

    
por David Tonhofer 03.01.2018 / 13:23

1 resposta

1

Em vez de registrar todos os pacotes ignorados, você pode configurar o firewalld para não registrar em log os pacotes de transmissão ou multicast, como o que você forneceu como exemplo em sua pergunta.

Para fazer isso, use --set-log-denied=unicast .

firewall-cmd --set-log-denied=unicast

Agora, os registros contêm apenas o tráfego negado direcionado ao seu host.

Da página do manual:

--set-log-denied=value
Add logging rules right before reject and drop rules in the INPUT, FORWARD and OUTPUT chains for the default rules and also final reject and drop rules in zones for the configured link-layer packet type. The possible values are: all, unicast, broadcast, multicast and off. The default setting is off, which disables the logging.

This is a runtime and permanent change and will also reload the firewall to be able to add the logging rules.

    
por 03.01.2018 / 16:46