今天,我列出了我的 iptables 进行例行检查 - 并发现了两个我不记得自己设置过的奇怪的 UFW 规则,它们引用了两个我无法识别的特定 IP 地址:
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
这有点吓人。有人成功入侵我的服务器并添加这些规则了吗?如果没有,那发生了什么?
(如果某些恶意代理确实侵入了我的防火墙,为什么他们会使用我的路由器未转发的端口 5353 和 1900?)
答案1
引用man ufw:
NOTES
On installation, ufw is disabled with a default incoming policy of
deny, a default forward policy of deny, and a default outgoing policy
of allow, with stateful tracking for NEW connections for incoming and
forwarded connections. In addition to the above, a default ruleset is
put in place that does the following:
[ ... ]
- ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb
for IPv6) for service discovery (INPUT)
- ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for ser‐
vice discovery (INPUT)
因此,您看到的这两条规则是ufw默认设置的一部分,允许 mDNS 和 UPnP 服务运行。
答案2
谷歌搜索显示这些 IP 地址与简单服务发现协议 (SSDP)/uPnP 和 iTunes 相关。因此这些规则可能与您安装的软件有关,并且与在 LAN 上共享信息有关。whois未返回任何 IP 的信息。
看
https://stackoverflow.com/questions/12483717/what-is-the-multicast-doing-on-224-0-0-251
和