ufw 中允许传出多播时出现问题

tag-icon tag-icon networking firewall iptables ufw
ufw 中允许传出多播时出现问题

我在配置简单防火墙 (ufw) 以允许传出多播流量时遇到问题。我将阻止所有传入和传出连接作为默认策略。我已补充了下面列出的规则。然而,每次启动系统后,我都会重复收到这些错误消息两次:

错误(启动时重复两次):

[UFW 块] IN= OUT=eth0 SRC=192.168.0.2 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

[UFW BLOCK] IN= OUT=eth0 SRC=fe80:0000:0000:0000:f66d:feee:feee:feee DST=ff02:0000:0000:0000:0000:0000:0000:0002 LEN=56 TC=0 HOPLIMIT=255 FLOWLBL=0 PROTO=ICMPv6 TYPE=133 CODE=0

[UFW BLOCK] IN= OUT=eth0 SRC=fe80:0000:0000:0000:f66d:04ff:feee:df54 DST=ff02:0000:0000:0000:0000:0000:0000:0016 LEN=96 TC=0 HOPLIMIT=1 FLOWLBL=0 PROTO=ICMPv6 TYPE=143 CODE=0

主要规则:

ufw allow out proto udp to 224.0.0.0/3
ufw allow out proto udp to ff00::/8
ufw allow in  proto udp to 224.0.0.0/3
ufw allow in  proto udp to ff00::/8


/etc/ufw/user.rules:
-A ufw-before-input  -p igmp -d 224.0.0.0/3 -j ACCEPT
-A ufw-before-output -p igmp -d 224.0.0.0/3 -j ACCEPT

以及

/etc/ufw/user6.rules:
-A ufw6-before-input  -p icmpv6 -d ff00::/8 -j ACCEPT
-A ufw6-before-output -p icmpv6 -d ff00::/8 -j ACCEPT

答案1

我在日志中看到了类似的消息,以下方法对我有用:

编辑后 /etc/ufw/before.rules,我添加了:

\# allow igmp codes from my local sub-net
-A ufw-before-input -p igmp -m ttl --ttl-eq 1 -j ACCEPT

并在 中/etc/ufw/before6.rules我添加了:

\# allow multicast group membership maintenance
-A ufw6-before-output -p icmpv6 --icmpv6-type 130 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type 131 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type 132 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type 143 -m hl --hl-eq 1 -j ACCEPT

\# allow multicast group membership maintenance go in as well
-A ufw6-before-input -p icmpv6 --icmpv6-type 130 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type 131 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type 132 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type 143 -j ACCEPT

但是请注意,被阻止的消息是来自本地路由器的组成员身份查询,我根本没有运行使用 IP 多播的实际程序。

进行上述配置更改后,日志条目消失了。

答案2

源地址= fe80:0000::0000:0000f66d:04fffeee:df54
夏令时= ff02:0000: 0000:0000: 0000:0000:0000:0016

我认为这个数字一定在数字之内ff00::/8。我不知道它们是否在之内。

或者你想尝试“我的 UPnP 播放器无法看到 MediaTomb,这是怎么回事?”的规则。尽管它们是出于一种看似相反的需要……

相关内容