Странные новые правила, добавленные к моему iptables, конфигурируются, … Был моим взломанным сервером?
Сегодня, я перечислил свой iptables для плановой проверки - и обнаружил, что два странных UFW постановляют, что я не помню собираться, обращаясь к двум определенным IP-адресам, которые я не могу определить:
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
Это довольно страшно. Кому-то удавалось взломать мой сервер и добавить эти правила? В противном случае, что произошло?
(И если бы некоторый злонамеренный агент действительно взламывал мой брандмауэр, почему они использовали бы порты 5353 и 1900, которые не передаются моим маршрутизатором??)
2 ответа
Заключение в кавычки man ufw:
NOTES
On installation, ufw is disabled with a default incoming policy of
deny, a default forward policy of deny, and a default outgoing policy
of allow, with stateful tracking for NEW connections for incoming and
forwarded connections. In addition to the above, a default ruleset is
put in place that does the following:
[ ... ]
- ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb
for IPv6) for service discovery (INPUT)
- ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for ser‐
vice discovery (INPUT)
Таким образом, эти два правила, которые Вы видите, являются частью ufwнастройки по умолчанию и позволяют mDNS и услугам UPnP работать.
Поиск с помощью Google говорит, что те IP-адреса связаны с Простым сервисным протоколом обнаружения (SSDP)/uPnP и iTunes. Таким образом, вероятно, что эти правила связаны с программным обеспечением, которое Вы установили, и коснитесь того, чтобы делиться информацией о LAN. whois не возвращает информации ни для одного IP.
Посмотрите
https://stackoverflow.com/questions/12483717/what-is-the-multicast-doing-on-224-0-0-251
и