Журнал ufw: множество действий по блокировке из интрасети
Для моего сервера "homelab / linux plays" (lubunut 20.04) я включил ufw, чтобы ограничить доступ к ssh для внутренней сети. Я просмотрел логи ufw и увидел, что получаю много похожих записей о блокировке, вроде этих:
SRC=192.168.0.52 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
SRC=192.168.0.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=54096 PROTO=2
Я вырезал MAC-адреса и даты в этих записях. Важно то, что 0,1 - это мой шлюз, модем / маршрутизатор предоставил интернет-провайдер, а 0,52 - это rpi, работающий под управлением pihole, поэтому мой сервер dhcp и dns.
У меня вопрос: что именно здесь блокируется? И как я могу сделать так, чтобы он не отображался в журналах, поскольку он засоряет журнал любой «реальной опасностью»?
1 ответ
Согласно ссылке от steeldriver DST=224.0.0.251 является многоадресным DNS, что имеет смысл, поскольку он приходит с моего dns сервера. Другой приходит от маршрутизатора и, похоже, является общей проблемой для "арендованных маршрутизаторов ISP".
В этой теме есть еще одна ссылка, и предположительно простое добавление правила запрета явно для этих двух удалит их из журнала. например, TIL: явные правила запрета не регистрируются ufw.
sudo ufw deny from 192.168.0.1 to 224.0.0.1
sudo ufw deny from 192.168.0.52 to 224.0.0.251