Що може бути причиною цих дивних записів блоку UFW в моєму системному журналі?


13

Нещодавно я помітив велику кількість повторюваних блоків UFW у своєму системному журналі. Це мене здивувало, оскільки у мене немає встановлених правил UFW:

$ sudo ufw status verbose
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip

Може хтось більше розбирається з конфігураціями брандмауера на Ubuntu / Linux, будь ласка, скажіть мені, чому я отримую ці записи?

Apr  7 20:01:04 mhcUBN kernel: [18234.747861] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3586 DF PROTO=2 
Apr  7 20:03:09 mhcUBN kernel: [18359.541595] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3587 DF PROTO=2 
Apr  7 20:05:14 mhcUBN kernel: [18484.335607] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3588 DF PROTO=2 
Apr  7 20:07:19 mhcUBN kernel: [18609.129970] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3589 DF PROTO=2 
Apr  7 20:09:24 mhcUBN kernel: [18733.923467] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3590 DF PROTO=2 
Apr  7 20:10:01 mhcUBN CRON[31522]: (mhc) CMD ("/home/mhc/.scripts/Customization/Powersaving/battmonitor")
Apr  7 20:11:29 mhcUBN kernel: [18858.717504] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3591 DF PROTO=2 
Apr  7 20:13:34 mhcUBN kernel: [18983.510575] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3592 DF PROTO=2 
Apr  7 20:15:39 mhcUBN kernel: [19108.306349] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3593 DF PROTO=2 
Apr  7 20:17:01 mhcUBN CRON[582]: (root) CMD (   cd / && run-parts --report /etc/cron.hourly)
Apr  7 20:17:44 mhcUBN kernel: [19233.100675] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3594 DF PROTO=2 
Apr  7 20:19:49 mhcUBN kernel: [19357.893801] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3595 DF PROTO=2 
Apr  7 20:20:01 mhcUBN CRON[1272]: (mhc) CMD ("/home/mhc/.scripts/Customization/Powersaving/battmonitor")
Apr  7 20:21:54 mhcUBN kernel: [19482.686449] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3596 DF PROTO=2 
Apr  7 20:23:59 mhcUBN kernel: [19607.480499] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3597 DF PROTO=2 
Apr  7 20:26:04 mhcUBN kernel: [19732.274979] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3598 DF PROTO=2 
Apr  7 20:28:09 mhcUBN kernel: [19857.068910] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3599 DF PROTO=2 
Apr  7 20:30:01 mhcUBN CRON[3484]: (mhc) CMD ("/home/mhc/.scripts/Customization/Powersaving/battmonitor")
Apr  7 20:30:14 mhcUBN kernel: [19981.862231] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3600 DF PROTO=2 
Apr  7 20:32:19 mhcUBN kernel: [20106.657165] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3601 DF PROTO=2 
Apr  7 20:34:24 mhcUBN kernel: [20231.450561] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3602 DF PROTO=2 
Apr  7 20:36:29 mhcUBN kernel: [20356.244475] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3603 DF PROTO=2 
Apr  7 20:38:34 mhcUBN kernel: [20481.038479] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3604 DF PROTO=2 
Apr  7 20:40:01 mhcUBN CRON[5702]: (mhc) CMD ("/home/mhc/.scripts/Customization/Powersaving/battmonitor")
Apr  7 20:40:39 mhcUBN kernel: [20605.832618] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3605 DF PROTO=2 
Apr  7 20:42:44 mhcUBN kernel: [20730.626727] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3606 DF PROTO=2 
Apr  7 20:44:49 mhcUBN kernel: [20855.419706] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3607 DF PROTO=2 
Apr  7 20:46:54 mhcUBN kernel: [20980.214309] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3608 DF PROTO=2 
Apr  7 20:48:59 mhcUBN kernel: [21105.008870] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:00:04:0e:ef:71:fe:08:00 SRC=192.168.178.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=3609 DF PROTO=2 

Я знайшов ці теми, які вказують на проблему з багатоадресною передачею:

http://ubuntuforums.org/showthread.php?t=1886913

https://bbs.archlinux.org/viewtopic.php?id=142525

https://isissue.apache.org/jira/browse/TS-775

Я жодним чином не є експертом із мережі та не розумію, що насправді відбувається. Якщо хтось "переклав" це, щоб я зрозумів, що відбувається, я був би дуже радий.

Відповіді:


11

Я вважаю, що у вашій локальній мережі є певний сервіс, який рекламує себе або шукає клієнтів. Це ваше правило "за замовчуванням відхилити вхід" блокує цей трафік. Ваш схожий на постійний шум, який я бачу в своїй домашній мережі, викликаний сервером багатоадресної передачі даних у моєму маршрутизаторі.

mDNS-мультимедіа до 224.0.0.251, тож це не те, що є вашим. У вас є щось для багатоадресної передачі на 224.0.0.1, загальну адресу "всіх хостів" . Не можу сказати, що це з цього, але з адреси підмережі (xxx1) я здогадуюсь, що ваш маршрутизатор є джерелом.


Дякую, це все! У моїй моделі маршрутизаторів я знайшов низку (німецьких) тем, що описують цю проблему. Мабуть , немає настройки , щоб відключити ці пакети GUI , а як він працює Linux ви можете вручну змінити конфігурацію: searchnetworking.de/forum / ...
Glutanimate

У мене було кілька наступних питань щодо боротьби з цими подіями і склав питання на unix / linux.se . Будь ласка, не соромтесь звучати, якщо вам це подобається.
Glutanimate

3

Думаю, що локальний маршрутизатор запитує, чи є хости, зацікавлені в отриманні багатоадресних повідомлень, - про що не турбуватися (див. [1] )

Ви можете запобігти створенню нових записів журналу за допомогою цієї команди (працює для мене на 13.10 64 біт):

sudo ufw deny from 192.168.178.1 to 224.0.0.1
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.