Ubuntu 18.04 中 ufw 的默认配置文件( /etc/ufw/before.rules 和 /etc/ufw/before6.ruls )接受 UPnP 和 mDNS 的服务发现。
文件 /etc/ufw/before.rules
...
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
# allow MULTICAST UPnP for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 239.255.255.250 --dport 1900 -j ACCEPT
...
文件 /etc/ufw/before6.rules
...
# allow MULTICAST mDNS for service discovery
-A ufw6-before-input -p udp -d ff02::fb --dport 5353 -j ACCEPT
# allow MULTICAST UPnP for service discovery
-A ufw6-before-input -p udp -d ff02::f --dport 1900 -j ACCEPT
...
我读了一些文章,其中说 UPnP 存在安全风险。我应该禁用这些规则吗?在这种情况下,将它们注释掉就足够了吗?还是我必须将 ACCEPT 更改为 DROP 或 REJECT ?
提前感谢任何线索。
答案1
实际上,这里的问题是“您需要 UPnP 吗?”
如果您出于某种逻辑原因需要 UPnP,那么保留这些规则就可以了。但是,如果您不需要或不希望 UPnP 服务发现工作,您可以按照您的指示将其注释掉。
大多数网络不再默认启用 UPnP,因此存在一些缓解措施,但是 UPnP是存在安全风险,因为当您的设备使用 UPnP 时,它可能会在您的网络中打开漏洞。通常最好禁用 UPnP。但是,请记住 18.04 也有 4 年的历史了,默认值可能ufw自 18.04 以来发生了变化,因此您提出这个问题的理由可能不再适用于以后的 Ubuntu 版本。
答案2
对于问题的第二部分,只需将它们注释掉即可,因为在这种情况下,这些数据包将继续通过ufw-输入后链,然后虽然ufw-跳至策略输入链条最终会将它们掉落。