制限されたユーザーセットを除くすべてのユーザーの発信トラフィックを記録するようにiptablesを設定し、結果のログメッセージを理解しようとしています。 /var/log/syslogを見ると、次のように127.0.0.1から127.0.0.53(DNSルックアップ?)までのリクエストと224.0.0.22へのリクエストがかなりあります。
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=224.0.0.22 LEN=40 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 MARK=0x94
これはマルチキャストアドレスです。原因は何か知っていますか?
最後に、次のようなものがいくつかありますが、これは世界中にICMP要求を送信しているようです。
IN= OUT=wlp2s0 SRC=10.100.102.200 DST=151.80.9.69 LEN=138 TOS=0x08 PREC=0xC0 TTL=64 ID=26846 PROTO=ICMP TYPE=3 CODE=3 [SRC=151.80.9.69 DST=10.100.102.200 LEN=110 TOS=0x08 PREC=0x40 TTL=51 ID=48812 DF PROTO=UDP SPT=27209 DPT=8083 LEN=90 ]
ところが本当に混乱するのはSRC=151.80.9.69 PROTO=UDP SPT=27209 DPT=8083括弧( )の中の部分である。 ICMPパケットがポート8083のUDP要求への応答であることを意味しますか?これが侵入(または侵入の試み)である可能性があることを心配する必要がありますか?それでは、すべての着信UDPトラフィックをブロックしない理由はありますか? (Webサーバーはポート80と443でのみリッスンしており、他のポートは開いていません。これを確認して再確認しました。)
私がここで見ているものを理解するのを助けてくれてありがとう。
答え1
さまざまな質問に対するさまざまな回答
224.0.0.22~であるIGMPマルチキャストアドレス、ローカルネットワークを維持する127.0.0.53systemdDNSリゾルバーですか?あなた
PROTO=ICMP TYPE=3 CODE=3の発信パケットは」ポートに接続できない「ポートに151.80.9.69UDPメッセージを送信しようとする試みに対する応答10.100.102.200808310.100.102.200トラフィックがサーバーに到達するには、udp/8083NATとポート転送を介してアクセスできる必要があります。これは、サービスが実行されていてudp/8083NATがタイムアウトしていないため、サービスを実行しなくても(わずか数秒または数分で)、またはNAT層を介して固定ポート転送があるためです。