При использовании iftop на моем интерфейсе wlan0 подключается несколько локальных адресов.
Как и где я могу отфильтровать эти соединения?
У меня есть очень конкретные правила UFW, блокирующие 169.254.0.0/16, но я не вижу никакого «UFW BLOCK» в моем ядре / системном журнале.
Странно то, что для этих соединений нет даже UFW AUDIT или UFW ALLOW, но они обязательно отображаются в iftop.
Это пугает меня тем, что я специально настроил ufw для блокировки этих адресов, и все же iftop показывает их соединение, и в журнале о них вообще ничего нет. Может ли это быть подвигом телепатии?
Можно неправильно читать то, что iftop говорит Вам. При выполнении iftop он помещает интерфейс в неразборчивый режим и таким образом получит каждый пакет, видимый на проводе, независимо от того, где те пакеты обращены, особенно широковещательные пакеты.
169.254. . пакеты передаются любыми устройствами в той же сети, которая не удалась получить ответ DHCP и закончила тем, что использовала самоприсвоенный диапазон IP вместо этого. Обычно эти пакеты являются un-routable так или иначе.
UFW/IPTables только собирается зарегистрировать блокирование пакета, когда тот пакет был конкретно обращен для того определенного хоста и затем отклонен UFW. Там вероятно правило в Вашей таблице, что или отбрасывания или принимают широковещательный трафик, не регистрируясь об этом.
при запуске iftop с-F cidr опции можно заставить его игнорировать широковещательные пакеты и фокусировать дисплей на просто трафике к/от хосту, например:
пакеты iftop-F 192.168.1.10/32
с тем одним IP-адресом (192.168.1.10) или в dst или в src поле будут отображены, другие будут тихо фильтрованы из дисплея.