对于我的家用路由器,我运行一个小型 Debian 盒子,它使用 PPPoE 通过单独的调制解调器连接到我的 ISP。
我已经制定了一些 iptables 规则很长一段时间了:
- 允许本地接口上的所有流量
- 为路由器后面的本地设备提供 NAT(例如转发、允许 WAN 上的相关 INPUT 流量等)
- 在路由器上为 VPN 打开 WAN 端口
- 允许远程监控的 IGMP 回应请求
- 为路由器后面的 Web 服务器转发 WAN 80/443 端口
此后,所有其他流量都将被丢弃(在 WAN 上)。
我决定研究记录丢弃的流量,因为我很好奇 iptables 丢弃了什么(或者谁试图攻击我的网络,哈)。
在日志中,我注意到多播流量正在被丢弃。
例如:
Feb 16 18:19:34 router kernel: [1234949.398845] iptables drop: IN=ppp0 OUT= MAC= SRC=0.0.0.0 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=22057 DF PROTO=2
如您所见,它位于 WAN(ppp0)上,并且这并不意味着它来自任何特定的外部 IP(0.0.0.0)。
我的规则允许相关流量通过 INPUT 链返回 WAN,所以我要问的是以下问题:
- 什么原因会导致 WAN 上出现这样的多播流量(或看起来像是进入 WAN 的多播流量)?
- 我应该继续阻止此流量,还是应该允许它?如果我允许它,会不会有风险?如果继续阻止它,我会错过一些有用的东西吗?