У меня есть настройка, в которой подключение к Интернету доступно через окно ISP, в котором есть функция DMZ (один из хостов может быть доступен в Интернете). Общая установка следующая
Internet - PublicIP - 192.168.0.254 - 192.168.0.10
[ FAI box ] [ my server - interface int0]
Сервер (проводное подключение к интернет-провайдеру) работает shorewall
который строит соответствующие iptables
правила. Журналы показывают, среди прочего, следующую повторяющуюся запись:
May 22 18:59:26 srv kernel: [ 1017.353898] Shorewall:int-fw:REJECT:IN=int0 OUT= MAC=40:8d:5c:4b:aa:55:b8:26:6c:c9:bc:34:08:00 SRC=192.168.0.254 DST=192.168.0.10 LEN=427 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=38328 DPT=5784 LEN=407
Поэтому похоже
192.168.0.254
(который является внутренним IP-адресом интернет-провайдера и шлюзом для моего сервера) пытается 192.168.0.10
(мой хост - в ящике FAI DMZ) на udp / 5784192.168.0.10
. «снаружи» - это обычно Интернет, но здесь это шлюз сервера.В чем может быть причина такой связи? Это всегда udp/5784
который IANA назначает к Резервирование приложений Cisco Interbox.
Напротив, типичный шум из Интернета отклоняется с помощью ожидаемого журнала (исходный IP-адрес в Интернете, направленный на общедоступный IP-адрес, который преобразуется в 192.168.0.10
поскольку хост находится в DMZ и получает все пакеты)
May 22 19:22:03 srv kernel: [ 2345.529390] Shorewall:int-fw:REJECT:IN=int0 OUT= MAC=40:8d:5c:4b:aa:55:b8:26:6c:c9:bc:34:08:00 SRC=113.162.106.145 DST=192.168.0.10 LEN=60 TOS=0x00 PREC=0x00 TTL=47 ID=51469 DF PROTO=TCP SPT=47041 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0
После анализа пакета он оказался вызовом UPnP из коробки ко всем подключенным устройствам.
Отключение UPnP устранило проблему (больше пакетов не обнаружено).