O que significa este registro de firewall?

Navegue suas respostas
5

A execução de iptables -L -n fornece as seguintes informações: 

Chain IN_ZONE_work_allow (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  0.0.0.0/0            0.0.0.0/0            tcp dpt:22 ctstate NEW
ACCEPT     udp  --  0.0.0.0/0            224.0.0.251          udp dpt:5353 ctstate NEW
ACCEPT     udp  --  0.0.0.0/0            0.0.0.0/0            udp dpt:631 ctstate NEW

O que é o ACCEPT udp 0.0.0.0/0 dest 224.0.0.251?

    
por Yurij73 08.03.2013 / 14:14

3 respostas

4

Isso significa que você tem permissão para receber pacotes de multicast dns (dpt = porta de destino, 5353 = multicast dns), udp é o protocolo, 224.0.0.251 é um destino endereço multicast , 0.0.0.0/0 significa de qualquer lugar. ctstate new significa que se a conexão é nova (pacotes relacionados a "não novos", ou seja, estabelecidos, conexões seriam aceitas através de uma regra mais geral).

Caso você não saiba, em um nível baixo, todos os computadores em uma rede recebem todos os pacotes enviados por qualquer outro computador; então cada um deles os separa.

    
por 08.03.2013 / 14:22
4

A regra sobre a qual você perguntou é comumente usada pelo daemon avahi no Linux para ouvir consultas mDNS.

Essa regra iptables está permitindo pacotes udp de entrada na porta 5353 que são destinados ao endereço multicast 224.0.0.251. A IANA define o uso do endereço multicast aqui e o mDNS RFC é aqui .

A saída iptables -L -n mostrada não é a imagem completa, pois a correspondência original em sua cadeia INPUT pode apresentar uma correspondência de pacote mais detalhada com base na origem, as interfaces nas quais esses pacotes são permitidos e uma variedade de outros atributos . A correspondência inicial na cadeia INPUT também pode pular para outras cadeias antes de atingir essa regra posterior na cadeia "IN_ZONE_work_allow". Para entender melhor todos os atributos de pacote que devem estar presentes para que essa regra seja disparada, você deve trabalhar para trás dessa cadeia até a primeira vez em que IN_ZONE_work_allow é visto na coluna target e continuar em dessa maneira até encontrar o primeiro salto de INPUT (supondo que este não seja realmente um conjunto de regras de encaminhamento). No seu caso, o mais provável é que essa cadeia seja pular diretamente do INPUT, conforme evidenciado pela nota após o nome da cadeia: "1 referências". Acho muito mais direto apenas olhar para a saída de iptables-save se tal estiver disponível na caixa.

    
por 08.03.2013 / 14:31
1

Na rede TCP / IP, 0.0.0.0 como um endereço IP significa "qualquer" ou "qualquer lugar". O formato interno do kernel (que é o que o acima reflete) usa isso, os comandos que o configuram provavelmente não fornecem uma fonte.

    
por 08.03.2013 / 14:19

Tags

Por que o VNC não mostra a área de trabalho remota real Iterar vários parâmetros com espaços no script bash