Странные новые правила добавлены в мой конфиг iptables... Был ли мой сервер взломан?
Сегодня я перечислил свои iptables для обычной проверки - и обнаружил два странных правила UFW, которые я сам не помню, настраивая, ссылаясь на два конкретных IP-адреса, которые я не могу идентифицировать:
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
Это немного страшно. Кому-нибудь удалось взломать мой сервер и добавить эти правила? Если нет, что случилось?
(И если какой-нибудь вредоносный агент взломал мой брандмауэр, зачем ему использовать порты 5353 и 1900, которые не пересылаются моим маршрутизатором?)
2 ответа
Квотирование man ufw:
NOTES
On installation, ufw is disabled with a default incoming policy of
deny, a default forward policy of deny, and a default outgoing policy
of allow, with stateful tracking for NEW connections for incoming and
forwarded connections. In addition to the above, a default ruleset is
put in place that does the following:
[ ... ]
- ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb
for IPv6) for service discovery (INPUT)
- ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for ser‐
vice discovery (INPUT)
Итак, эти два правила, которые вы видите, являются частью ufwнастройки по умолчанию и позволяют сервисам mDNS и UPnP работать.
По словам Google, эти IP-адреса связаны с протоколом простого обнаружения служб (SSDP)/uPnP и iTunes. Таким образом, вполне вероятно, что эти правила относятся к установленному вами программному обеспечению и относятся к обмену информацией в локальной сети. whois не возвращает никакой информации ни для одного IP.
Увидеть
https://stackoverflow.com/questions/12483717/what-is-the-multicast-doing-on-224-0-0-251
а также