对于我的“homelab/linux 游乐场”服务器 (lubunut 20.04),我启用了 ufw 以将 ssh 访问暂时限制在内联网。我查看了 ufw 日志,发现我收到了很多类似的阻止条目,如下所示:
SRC=192.168.0.52 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
SRC=192.168.0.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=54096 PROTO=2
我在这些条目中剪辑了 mac 地址和日期。重要的是 0.1 是我的网关,ISP 提供的调制解调器/路由器,而 0.52 是一个运行 pihole 的 rpi,因此是我的 dhcp 和 dns 服务器。
我的问题是这里到底阻止了什么?我怎样才能让它不出现在日志中,因为它会使日志混乱,无法识别任何“真正的危险”?
答案1
根据steeldriver的链接,DST=224.0.0.251是多播DNS,这是有道理的,因为它来自我的DNS服务器。另一个来自路由器,似乎是“租用的ISP路由器”的常见问题。
在该线程中还有另一个链接,据称只需为这两个规则明确添加拒绝规则即可将它们从记录中删除。例如 TIL:ufw 不会记录明确的拒绝规则。
sudo ufw deny from 192.168.0.1 to 224.0.0.1
sudo ufw deny from 192.168.0.52 to 224.0.0.251