Проблемы с разрешением исходящей многоадресной рассылки в UFW

Question

Проблемы с разрешением исходящей многоадресной рассылки в UFW

У меня проблемы с настройкой несложного межсетевого экрана (ufw) для разрешения исходящего многоадресного трафика. Я блокирую все входящие и исходящие соединения в качестве политики по умолчанию. Я дополнил приведенными ниже правилами. Тем не менее, я получаю эти сообщения об ошибках дважды после каждой загрузки системы:

Ошибки (повторяются дважды при загрузке):

[UFW BLOCK] IN = OUT = eth0 SRC = 192.168.0.2 DST = 224.0.0.22 LEN = 40 TOS = 0x00 PREC = 0xC0 TTL = 1 ID = 0 DF PROTO = 2
[UFW BLOCK] IN = OUT = eth0 SRC = fe80: 0000: 0000: 0000: f66d: feee: feee: feee DST = ff02: 0000: 0000: 0000: 0000: 0000: 0000: 0002 LEN = 56 TC = 0 HOPLIMIT = 255 FLOWLBL = 0 PROTO = ICMPv6 TYPE = 133 CODE = 0
[UFW BLOCK] IN = OUT = eth0 SRC = fe80: 0000: 0000: 0000: f66d: 04ff: feee: df54 DST = ff02: 0000: 0000: 0000: 0000: 0000: 0000: 0016 LEN = 96 TC = 0 HOPLIMIT = 1 FLOWLBL = 0 PROTO = ICMPv6 TYPE = 143 CODE = 0

Основные правила:

ufw allow out proto udp to 224.0.0.0/3
ufw allow out proto udp to ff00::/8
ufw allow in  proto udp to 224.0.0.0/3
ufw allow in  proto udp to ff00::/8

в

/etc/ufw/user.rules:
-A ufw-before-input  -p igmp -d 224.0.0.0/3 -j ACCEPT
-A ufw-before-output -p igmp -d 224.0.0.0/3 -j ACCEPT

И в

/etc/ufw/user6.rules:
-A ufw6-before-input  -p icmpv6 -d ff00::/8 -j ACCEPT
-A ufw6-before-output -p icmpv6 -d ff00::/8 -j ACCEPT

3

networking iptables firewall ufw

Источник

Aeyoun 06 фев '13 в 18:58

2 ответа

Другие вопросы по тегам networking iptables firewall ufw

Lutz 13 сен '14 в 08:53 2014-09-13 08:53 · Answer 1 · 2014-09-13 08:53

Я видел похожие сообщения в журнале и сделал следующее:

в

/etc/ufw/before.rules

я добавил

\# allow igmp codes from my local sub-net
-A ufw-before-input -p igmp -m ttl --ttl-eq 1 -j ACCEPT

и к

/etc/ufw/before6.rules

\# allow multicast group membership maintenance
-A ufw6-before-output -p icmpv6 --icmpv6-type 130 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type 131 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type 132 -m hl --hl-eq 1 -j ACCEPT
-A ufw6-before-output -p icmpv6 --icmpv6-type 143 -m hl --hl-eq 1 -j ACCEPT

а также

\# allow multicast group membership maintenance go in as well
-A ufw6-before-input -p icmpv6 --icmpv6-type 130 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type 131 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type 132 -j ACCEPT
-A ufw6-before-input -p icmpv6 --icmpv6-type 143 -j ACCEPT

Однако обратите внимание, что сообщения заблокированы, когда членство в группе запрашивает локальный маршрутизатор, у меня нет действующей программы, которая вообще использует многоадресную IP-рассылку. Но записи журнала пропали в конце концов.

Alexandre 11 май '14 в 00:48 2014-05-11 00:48 · Answer 2 · 2014-05-11 00:48

SRC = fe80:0000: 0000:0000: f66d:04ff: feee:df54
DST = ff02:0000: 0000:0000: 0000:0000: 0000:0016

Я думаю, что эти цифры должны быть в пределах числа ff00::/8, Я не знаю, если они.

Или, может быть, вы хотите попробовать правила " Мой UPnP-плеер не видит MediaTomb, что не так?". Хотя они для необходимости, которая кажется обратной...