Я включил ведение журнала iptables для пакетов, приходящих извне
-A INPUT ! -s 192.168.218.0/24 -j LOG
Теперь я вижу много входящих пакетов с неизвестных адресов
Jun 5 14:54:56 localhost kernel: [572504.888953] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49833 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0
Jun 5 14:54:56 localhost kernel: [572504.916382] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49834 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0
Jun 5 14:54:56 localhost kernel: [572504.916425] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1000 TOS=0x00 PREC=0x00 TTL=55 ID=49835 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK PSH URGP=0
Jun 5 14:54:56 localhost kernel: [572505.051902] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=1500 TOS=0x00 PREC=0x00 TTL=55 ID=49836 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK URGP=0
Jun 5 14:54:56 localhost kernel: [572505.184949] IN=eth1 OUT= MAC=... SRC=91.189.88.140 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=55 ID=49837 DF PROTO=TCP SPT=80 DPT=47954 WINDOW=295 RES=0x00 ACK FIN URGP=0
Jun 5 14:55:05 localhost kernel: [572513.916617] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=29430 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK FIN URGP=0
Jun 5 14:55:14 localhost kernel: [572523.037537] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=45598 WINDOW=62 RES=0x00 ACK URGP=0
Jun 5 14:55:35 localhost kernel: [572544.026368] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=60 TOS=0x00 PREC=0x00 TTL=52 ID=0 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=5792 RES=0x00 ACK SYN URGP=0
Jun 5 14:55:35 localhost kernel: [572544.149415] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=451 TOS=0x00 PREC=0x00 TTL=52 ID=20682 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK PSH URGP=0
Jun 5 14:55:50 localhost kernel: [572559.133253] IN=eth1 OUT= MAC=... SRC=64.34.119.12 DST=192.168.218.101 LEN=52 TOS=0x00 PREC=0x00 TTL=52 ID=20683 DF PROTO=TCP SPT=80 DPT=48218 WINDOW=63 RES=0x00 ACK FIN URGP=0
Я отключил переадресацию всех портов с моего маршрутизатора (ssh 22 и openvpn 1194), поэтому я не понимаю, как эти пакеты попадают в ящик 192.168.218.101 (мой компьютер называется «localhost»).
Я попытался добавить tcpdump для исследования этих пакетов с помощью
sudo tcpdump "(dst net 192.168.218.0/24 and ! src net 192.168.218.0/24)"
но он не возвращает ни одной строки вывода.
Есть идеи, почему эти пакеты проходят через маршрутизатор? Маршрутизатор - домашний D-Link Dir-600, я отключил переадресацию портов и никаких правил брандмауэра, DMZ отключена.
Какого рода диагностику я могу запустить, чтобы узнать, какова полезная нагрузка в этих пакетах? Почему tcpdump ничего не показывает?
Это пакеты, которые приходят в ответ на TCP-соединения, инициированные вашим хостом - исходный порт TCP - 80, поэтому они, вероятно, являются соединениями HTTP.
Причина, по которой вы не видите их в выходных данных tcpdump, заключается в том, что tcpdump принимает первый доступный интерфейс по умолчанию и будет захватывать пакеты на eth0, в то время как пакеты, которые вы видите, зарегистрированные iptables, поступают на eth1.