我有一台Linux机器,我主持一个Intranet网站。 我想通过http:// myhostname来访问它。 我知道这是做的DNS,但我没有访问networking的DNS服务器。 也许我可以使用dynamicDNS,但我不知道他们是否支持专用networkingIP,我宁愿在本地networking上做任何事情。 于是我安装了Samba和Avahi,并且我遵循了Samba的安全文档iptables规则:
iptables -A OUTPUT -p tcp --dport 135 -j ACCEPT iptables -A OUTPUT -p udp --dport 137 -j ACCEPT iptables -A OUTPUT -p udp --dport 138 -j ACCEPT iptables -A OUTPUT -p tcp --dport 139 -j ACCEPT iptables -A OUTPUT -p tcp --dport 445 -j ACCEPT 对于Avahi我补充说:
iptables -A OUTPUT -p udp --dport 5353 -j ACCEPT
一切似乎正在工作,但我担心桑巴和Avahi潜在的漏洞,所以我想知道如果我可以使这些规则更多的限制,因为我没有使用大多数的function(如打印机或文件共享)。
例如,我试图阻止TCP端口445和http:// myhostname仍然在我的Windows 7机器上工作。 但是,这仅仅是因为IP被caching了,而且它可以与其他版本的Windows或Mac一起工作,我不知道。 任何人都可以告诉我,哪些端口可以阻止,而不妨碍大多数客户的名称parsing? 而对于我必须打开的端口,我只能允许一些数据包(例如只有广播)?