iptables - Pacotes UDP de endereços IP desconhecidos

Question

iptables - Pacotes UDP de endereços IP desconhecidos

#1 resposta do (1 votos)

2

Sou muito novo na administração básica de sistemas, e essa questão é um pouco difícil para o Google. Estou configurando um pequeno servidor pi de framboesa para meu uso pessoal, para me ensinar algumas coisas básicas de administração de servidores. Tenho as seguintes solicitações nos meus registros de iptables :

Dec 23 11:22:50 raspberrypi kernel: [ 9265.069490] iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=223.252.23.219 DST=192.168.1.110 LEN=76 TOS=0x00 PREC=0x00 TTL=50 ID=38239 DF PROTO=UDP SPT=123 DPT=123 LEN=56 
Dec 23 11:26:21 raspberrypi kernel: [ 9476.067683] iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=202.60.94.15 DST=192.168.1.110 LEN=76 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56 
Dec 23 11:28:57 raspberrypi kernel: [ 9632.043036] iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.189.54.17 DST=192.168.1.110 LEN=76 TOS=0x00 PREC=0x00 TTL=246 ID=43921 DF PROTO=UDP SPT=123 DPT=123 LEN=56 
Dec 23 11:31:48 raspberrypi kernel: [ 9803.084926] iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=223.252.23.219 DST=192.168.1.110 LEN=76 TOS=0x00 PREC=0x00 TTL=50 ID=22008 DF PROTO=UDP SPT=123 DPT=123 LEN=56 
Dec 23 11:35:02 raspberrypi kernel: [ 9997.074316] iptables denied: IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=202.60.94.15 DST=192.168.1.110 LEN=76 TOS=0x00 PREC=0x00 TTL=51 ID=0 DF PROTO=UDP SPT=123 DPT=123 LEN=56

192.168.1.110 é o pi de framboesa (se você não conseguiu adivinhar)

Então, primeiro de tudo, de quem / de quais são as solicitações de todos esses IPs estranhos? Isso é algo que eu deveria estar preocupado? O pi framboesa não está em um DMZ. Não há portas encaminhadas para ele. Todas as comunicações do pi para a internet passam por um switch e depois pelo roteador da minha casa antes que o modem esteja conectado ao roteador. Como esses pacotes estranhos estão passando pelo roteador?

Se for de alguma utilidade, aqui está a configuração atual para iptables :

*filter

##############################################
##### Dealing with loopback connections: #####
##############################################
# Append a rule to the INPUT chain. For connections coming in from the "lo" Interface, Jump to the ACCEPT target.
-A INPUT -i lo -j ACCEPT

# Append a rule to the INPUT chain. For connections with a Destination of 127.0.0.0 - 127.255.255.255, Jump to the REJECT target.
-A INPUT -d 127.0.0.0/8 -j REJECT

##############################################
##### Dealing with SSH connections: ##########
##############################################
# Append a rule to the INPUT chain. For all connections (established or new) from 192.168.1.125 on TCP port 22 (ssh), Jump to the ACCEPT target.
-A INPUT  -p tcp --dport ssh -s 192.168.1.125 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport ssh -d 192.168.1.125 -m state --state ESTABLISHED -j ACCEPT

##############################################
##### Dealing with HTTP connections: #########
##############################################
-A INPUT  -p tcp --dport 80 -s 192.168.1.125 -m state --state NEW,ESTABLISHED -j ACCEPT
-A OUTPUT -p tcp --sport 80 -d 192.168.1.125 -m state --state ESTABLISHED -j ACCEPT

##############################################
##### Dealing with ping: #####################
##############################################
-A INPUT -p icmp --icmp-type echo-request -j ACCEPT
-A OUTPUT -p icmp --icmp-type echo-reply -j ACCEPT

##############################################
##### Log denied calls: ######################
##############################################
-A INPUT -m limit --limit 5/min -j LOG --log-prefix "iptables denied: " --log-level 7

##############################################
##### Accept input related to output #########
##############################################
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT

##############################################
##### Kill everything but output: ############
##############################################
-A INPUT -j REJECT
-A FORWARD -j REJECT
-A OUTPUT -j ACCEPT

--policy INPUT DROP
--policy OUTPUT ACCEPT
--policy FORWARD DROP

COMMIT

Obrigado antecipadamente!

networking iptables router linux raspberry-pi

por AStupidNoob 23.12.2014 / 13:16

1 resposta

Tags networking iptables router linux raspberry-pi

Como solucionar o erro CIFS -13 (Permission Denied)? Problemas com o AMD Catalyst Driver v14.12 no Windows 8.1 x64

score 1 · Accepted Answer

Estes são os pacotes NTP (conforme indicado pela porta 123) enviados pelos servidores locais na área do seu servidor. É a resposta Network Time Protocol ao seu servidor solicitando atualizações de hora via ntpd . Como o iptables bloqueia isso, seu tempo não será atualizado.

Portanto, faz sentido deixar o tráfego de entrada do NTP, mas apenas se for da sua própria solicitação de NTP. Se você permitir que o seu ntpd aceite solicitações recebidas do mundo externo, esse pode ser problemático e deve ser desativado .

Nenhuma outra máquina na sua rede está recebendo esses pacotes, já que, como o TCP, o UDP está ligado a uma determinada porta em um determinado endereço IP. E, a menos que esse endereço IP seja, na verdade, um endereço de transmissão , seu roteador o entregará apenas ao servidor que o solicitou.