Для моего домашнего роутера я использую небольшую коробку Debian, которая подключается к моему провайдеру через отдельный модем с использованием PPPoE.
У меня довольно много правил iptables, которые:
- Разрешить весь трафик на локальных интерфейсах
- Предоставьте NAT для локальных устройств за маршрутизатором (например, переадресация, разрешение связанного входящего трафика в глобальной сети и т.д.)
- Открытые порты в глобальной сети для VPN на маршрутизаторе
- Разрешить эхо-запросы IGMP для удаленного мониторинга
- Порт переадресации WAN 80/443 для веб-сервера за маршрутизатором
После этого весь остальной трафик сбрасывается (в глобальной сети).
Я решил заглянуть в журнал пропущенного трафика, так как мне было любопытно, что сбрасывает iptables (или кто пытается атаковать мою сеть, ха).
В журналах я заметил, что многоадресный трафик падает.
Например:
Feb 16 18:19:34 router kernel: [1234949.398845] iptables drop: IN=ppp0 OUT= MAC= SRC=0.0.0.0 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=22057 DF PROTO=2
Как видите, он находится в глобальной сети (ppp0), и это не указывает на то, что он связан с каким-либо внешним IP-адресом (0.0.0.0).
Мои правила допускают, чтобы связанный трафик был разрешен обратно в WAN через цепочку INPUT, поэтому я задаю следующие вопросы:
- Что может вызвать многоадресный трафик в глобальной сети (или, по-видимому, это многоадресный трафик, входящий в глобальную сеть)?
- Должен ли я продолжать блокировать этот трафик или разрешить? Это риск, если я это позволю? Я упускаю что-то полезное / полезное, продолжая блокировать это?