Для соответствия стандарту PCI было рекомендовано фильтровать входящий трафик на порт UDP 5353, пожалуйста, кто-нибудь может посоветовать, как это сделать?
В настоящее время я использую Centos 5.7 64 бит.
Как сделать то, о чем вы просили:
В CentOS вашим брандмауэром управляет IPTables / netfilter. Хотя вы можете добавить правило для блокировки трафика UDP-порта 5353 с помощью (и традиционных правил состояния):
iptables -A INPUT -p udp -m udp --dport 5353 -m state --state NEW -j DROP
Почему не следует делать то, о чем вы просили:
Однако я считаю, что соответствие требованиям PCI требует, чтобы ваши брандмауэры имели политики запрета по умолчанию, что означает, что вы должны отбрасывать весь трафик, который вы не разрешаете по определенным правилам, и, следовательно, вам не нужно конкретное правило, подобное приведенному выше. Вы можете сделать это в IPTables, установив DROP в качестве правила по умолчанию или добавив правило DROP в нижней части вашего брандмауэра. Кроме того, эта фильтрация, вероятно, должна происходить уже на брандмауэре, а не на сервере. Если CentOS является вашим брандмауэром, эти правила будут в цепочках FORWARD, а не в цепочках INPUT.
Возможно, вам понадобится помощь извне:
Судя по уровню вашего вопроса и сложности реализации полного соответствия PCI, я чувствую, что вы здесь немного переборщили. Это не делает вас плохим человеком или плохим в работе. Тем не менее, так же, как вы просите помощи в деталях здесь (отличная вещь, а также поддержка, чтобы не упустить, что это для соответствия PCI), я рекомендую вам получить дополнительную помощь от консультанта по внедрению PCI в качестве проекта в целом . Если после некоторого размышления над этим вы почувствуете, что это правда, значит, вы действительно делаете свою работу как можно лучше, признавая, что поиск помощи извне - лучший для компании.