它已被推荐用于PCI合规性,我过滤传入UDP端口5353stream量,请有人build议有什么步骤来做到这一点?
我目前正在使用Centos 5.7 64位。
如何做你所问:
使用CentOS,您的防火墙由IPTables / netfilter控制。 尽pipe您可以添加一个规则来阻止UDP 5353端口(和传统的状态规则):
iptables -A INPUT -p udp -m udp --dport 5353 -m state --state NEW -j DROP
为什么你不应该做你所问:
但是,我认为PCI合规性要求您的防火墙具有默认拒绝策略,这意味着您应该放弃所有不受特定规则允许的stream量,因此不需要像上面那样的特定规则。 您可以在IPTables中执行此操作,方法是将DROP设置为默认规则,或者在防火墙底部添加DROP规则。 而且,这个过滤应该可能已经发生在防火墙而不是服务器上。 如果CentOS是你的防火墙,这个规则将在FORWARD链上,而不是在INPUT链上。
您可能需要外部帮助:
从你的问题层面来看,以及实施全面的PCI合规性的复杂性,我觉得你在这里有点头痛。 这不会使你成为一个坏人或坏的工作。 然而,正如你在这里要求的帮助(这是一件很棒的事情,道具以及不要遗漏这是PCI合规),我build议你从PCI实施顾问那里获得更多的帮助,因为项目总的来说。 如果在经过一段时间的思考之后,你认为这是事实,那么实际上你是在尽自己最大的努力,承认寻求外部帮助对公司是最好的。