我有一台小型家用服务器,主机名mango运行 Debian,安装了 UFW 防火墙和 logcheck。多年来,我的 (NAT) 路由器转发到此 mango 服务器的端口数量非常有限。我的路由器上的 UPnP 已关闭(至少,它是这么写的)。
┌───────────┐ ┌───────────┐ ┌──────────┐
│ cable │ DMZ │ router │ │ mango │
INTERNET ──┤ modem ├─────────┤(NAT+some ├────┬────┤10.0.0.213│
│ │ │prt fw'ing)│ │ │(runs UFW)│
└───────────┘ └───────────┘ │ └──────────┘
│
│ ┌──────────┐
│ │ │
├────┤ │
│ │ │
│ └──────────┘
...
有时我会收到如下所示的多个日志检查条目电子邮件,我不明白它们是如何实现的。
Mar 29 22:03:45 mango kernel: [690469.612733] [UFW BLOCK]
IN=eth0 OUT=
MAC=b8:27:eb:66:ca:e1:00:8e:f2:4b:ee:9c:08:00:45:08:00:88:e4:b9:40:00:0c:11:3b:27
SRC=18.195.48.229
DST=10.0.0.213
LEN=136 TOS=0x08 PREC=0x00 TTL=12 ID=58553 DF PROTO=UDP
SPT=57673 DPT=51221 LEN=116
它报告一个外部 IP(18.195.48.229,地理位置位于德国,不是我的祖国)试图通过已关闭的 UDP 目标端口(DPT=51221)访问 mango(10.0.0.213,mac:b8:27:eb:66:ca:e1),该端口不是在我的路由器上配置或转发(并且 UPnP 已关闭)。我可以看到数据包来自我的路由器(mac:00:8e:f2:4b:ee:9c)
问题:
这种到非转发端口的流量,报告外部 IP 源,怎么会最终进入我的网络?我应该在哪里查看以了解发生了什么?
我已经考虑过
- 我能想到的一个解释是,我的网络中的另一个设备正在执行 IP 路由/转发。但是,MAC 条目显示数据包来自我的路由器 (00:8e:f2:4b:ee:9c),所以我的假设不成立。
- 自动 UPnP 端口转发。但我的路由器上的 UPnP 已关闭。
- 这可能是来自最初源自我的芒果主机(10.0.0.213)的连接的(NAT 路由)回复吗?