我已经设置了 iptables 来记录除一组有限用户之外的所有用户的传出流量,并且我正在尝试了解由此产生的日志消息。查看 /var/log/syslog,我看到从 127.0.0.1 到 127.0.0.53 的请求(DNS 查找?)以及相当多到 224.0.0.22 的请求,如下所示:
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 MARK=0x94
这是一个多播地址...有什么想法会导致这种情况吗?
最后,我有几个看起来像这样的,它们似乎是发往世界各地的传出 ICMP 请求:
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=151.80.9.69 LEN=138 TOS=0x08 PREC=0xC0 TTL=64 ID=26846 PROTO=ICMP TYPE=3 CODE=3 [SRC=151.80.9.69 DST=10.100.102.200 LEN=110 TOS=0x08 PREC=0x40 TTL=51 ID=48812 DF PROTO=UDP SPT=27209 DPT=8083 LEN=90 ]
但是,真正让我困惑的是括号(SRC=151.80.9.69 PROTO=UDP SPT=27209 DPT=8083
)中的部分。是否意味着 ICMP 数据包是对端口 8083 的 UDP 请求的响应?我是否应该担心这可能是入侵(或企图入侵)?如果是这样,我是否有任何理由不应该阻止所有传入的 UDP 流量? (我只有网络服务器监听端口 80 和 443,没有其他端口打开——我已经检查并仔细检查了这一点。)
感谢您帮助理解我在这里看到的内容......
答案1
对不同问题的不同答案
224.0.0.22
是个IGMP 的多播地址,保留在您的本地网络上127.0.0.53
是systemd
DNS 解析器您的
PROTO=ICMP TYPE=3 CODE=3
传出数据包是“端口不可达" 对向端口151.80.9.69
发送 UDP 消息的尝试的响应10.100.102.200
8083
为了使流量能够到达
10.100.102.200
服务器udp/8083
,必须可以通过 NAT 和端口转发进行访问。要么是因为您曾经运行过某个服务udp/8083
,而 NAT 尚未超时,尽管您不再运行该服务(只需几秒或几分钟),要么是因为您有一个通过 NAT 层的静态端口转发。