如何解释非转发端口上来自外部源的 UFW 防火墙 LAN 数据包?

如何解释非转发端口上来自外部源的 UFW 防火墙 LAN 数据包?

我有一台小型家用服务器,主机名mango运行 Debian,安装了 UFW 防火墙和 logcheck。多年来,我的 (NAT) 路由器转发到此 mango 服务器的端口数量非常有限。我的路由器上的 UPnP 已关闭(至少,它是这么写的)。

           ┌───────────┐         ┌───────────┐         ┌──────────┐
           │   cable   │     DMZ │  router   │         │  mango   │
INTERNET ──┤   modem   ├─────────┤(NAT+some  ├────┬────┤10.0.0.213│
           │           │         │prt fw'ing)│    │    │(runs UFW)│
           └───────────┘         └───────────┘    │    └──────────┘
                                                  │    ┌──────────┐
                                                  │    │          │
                                                  ├────┤          │
                                                  │    │          │
                                                  │    └──────────┘
                                                 ...

有时我会收到如下所示的多个日志检查条目电子邮件,我不明白它们是如何实现的。

Mar 29 22:03:45 mango kernel: [690469.612733] [UFW BLOCK] 
IN=eth0 OUT=
MAC=b8:27:eb:66:ca:e1:00:8e:f2:4b:ee:9c:08:00:45:08:00:88:e4:b9:40:00:0c:11:3b:27
SRC=18.195.48.229
DST=10.0.0.213 
LEN=136 TOS=0x08 PREC=0x00 TTL=12 ID=58553 DF PROTO=UDP 
SPT=57673 DPT=51221 LEN=116

它报告一个外部 IP(18.195.48.229,地理位置位于德国,不是我的祖国)试图通过已关闭的 UDP 目标端口(DPT=51221)访问 mango(10.0.0.213,mac:b8:27:eb:66:ca:e1),该端口不是在我的路由器上配置或转发(并且 UPnP 已关闭)。我可以看到数据包来自我的路由器(mac:00:8e:f2:4b:ee:9c)

问题:

这种到非转发端口的流量,报告外部 IP 源,怎么会最终进入我的网络?我应该在哪里查看以了解发生了什么?

我已经考虑过

  • 我能想到的一个解释是,我的网络中的另一个设备正在执行 IP 路由/转发。但是,MAC 条目显示数据包来自我的路由器 (00:8e:f2:4b:ee:9c),所以我的假设不成立。
  • 自动 UPnP 端口转发。但我的路由器上的 UPnP 已关闭。
  • 这可能是来自最初源自我的芒果主机(10.0.0.213)的连接的(NAT 路由)回复吗?

相关内容