我注意到来自 192.168.30.2 的多播广播到达了我路由器的 WAN 接口。该广播可能来自我路由器本地某处的接口,对吧?或者它来自 ISP 的 10.46.xx.xx 网络的哪里?谢谢!
这是防火墙日志。第一项的源 IP 位于我的 WAN 网关 IP 的 /24 范围内。第二项的源 IP 的子网看起来像是本地私有 IP,但它在哪里呢?它看起来像是远程复制代理连接端口上的握手。
Thu Jun 25 02:34:12 2020 kern.warn kernel: [ 8257.329619] DROP wan in: IN=eth0.2 OUT= MAC=ff:ff:ff:ff:ff:ff:64:d1:54:84:83:02:08:00:45:00:00:80 SRC=10.46.32.37 DST=255.255.255.255 LEN=128 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=5678 DPT=5678 LEN=108
Thu Jun 25 02:34:12 2020 kern.warn kernel: [ 8257.440217] DROP wan in: IN=eth0.2 OUT= MAC=ff:ff:ff:ff:ff:ff:d4:ca:6d:0b:9b:05:08:00:45:00:00:8b SRC=192.168.30.2 DST=255.255.255.255 LEN=139 TOS=0x00 PREC=0x00 TTL=64 ID=0 PROTO=UDP SPT=5678 DPT=5678 LEN=119
答案1
这看起来可能像是通过远程复制代理连接端口的握手。
这是 Mikrotik RouterOS发现数据包。RouterOS 会从附近的其他路由器收集此类数据包,以便显示连接到每个端口的其他基础设施设备(路由器、交换机)的详细列表。其目的类似于链路层发现协议和 CDP。
(虽然现在供应商特定的发现协议已被弃用,取而代之的是 LLDP,但在 RouterOS 中,它是全有或全无的——如果启用了发现,它会使用 MNDP、CDP 发送公告,和LLDP。后两者不会显示在您的 iptables 日志中,因为它们不是基于 IP 的。)
第一个项目的源 IP 位于我的 WAN 网关 IP 的 /24 范围内。
不是很罕见。WAN 链接不一定是点对点的;它很可能是一个包含一些路由器和一些客户的常规子网,尤其是对于较小的 ISP 来说。
第二项的源 IP 的子网看起来像是本地私有 IP,但它在哪里?
同一第 2 层连接上可能有多个 IP 子网(无论出于何种原因)。也就是说,10.46.32.37 和 192.168.30.2 都是 WAN 链路上的实际设备 - 两者都是 Mikrotik 路由器。