UFW sembra bloccare le connessioni dall'indirizzo remoto, ma NAT è disabilitato sul mio router

Naviga le tue risposte
2

Mi piacerebbe capire cosa significa esattamente la seguente riga, perché linee simili possono trovarsi nel mio log di sistema abbastanza spesso e non me ne aspetterei nessuna. 

[UFW BLOCK] IN=enp2s0 OUT= MAC=72:8a:bd:21:93:eb:00:02:2a:00:6c:c5:08:99 SRC=45.32.243.178 DST=192.168.0.75 LEN=28 TOS=0x00 PREC=0x00 TTL=241 ID=50074 PROTO=UDP SPT=60000 DPT=52346 LEN=8

UFW ha il seguente stato, tutte le mie porte dovrebbero essere chiuse: 

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

Il mio PC ha un IP locale (192.168.x.x) ed è dietro un router che si affaccia sull'internet pubblico che non ha regole abilitate per NAT, quindi suppongo che tutte le porte siano chiuse e che non ci sia traffico che raggiunga la rete locale. Non sono sicuro di aver capito quella linea nel registro, ma sembra che abbia bloccato una connessione da un IP pubblico su Internet all'IP locale del mio PC. Com'è possibile, visto che il mio router non dovrebbe lasciare traffico? C'è una spiegazione, o ci sono dei test che posso eseguire per controllare il mio setup? In passato ho dovuto aprire esplicitamente le porte (con le regole NAT) sul mio router se volevo che qualcuno si connettesse a un servizio in esecuzione sul mio PC, quindi direi che sono abbastanza sicuro che dovrebbe bloccare tutto per impostazione predefinita ora, a meno che qualcosa non funzioni molto.

    
posta reed 26.04.2018 - 23:34
fonte

1 risposta

2

Poiché la tua domanda non è precisa su alcuni punti, qui faccio alcune ipotesi:

  • Il tuo "router" è un router COTS, in realtà un dispositivo NATing, non un vero router.
  • Hai più dispositivi all'interno della rete.
  • Non hai configurato il router COTS in un modo specifico, lasciandolo alle impostazioni predefinite (forse oltre a cambiare la password WiFi).

Ci sono diverse possibilità che possono portare a questo tipo di log e in parte sto incorporando commenti sulla domanda in questa risposta.

  • Il tuo router potrebbe essere compromesso e abilitare il port forwarding senza che tu possa vederlo nella GUI.
  • Un altro computer della rete potrebbe essere compromesso e inviare pacchetti UDP con IP falsificati.
  • La tua macchina potrebbe essere compromessa e aperta in avanti inviando un pacchetto per primo (tuttavia, di solito questo non funziona immediatamente per UDP).
  • La tua macchina (forse per motivi legittimi come la rete peer to peer) potrebbe richiedere un portforward effimero dal router tramite uPnP .

In generale, non si deve fare affidamento su un NAT come una specie di firewall. Mentre generalmente fornisce (alcuni) l'effetto, non è progettato per la sicurezza ma per l'usabilità. Dall'altro lato, sembra che tu stia utilizzando un filtro di pacchetti locale, che potrebbe essere configurato in modo più rigoroso per quanto riguarda i pacchetti in uscita, che può aiutare a ridurre significativamente il rischio.

    
risposta data 27.04.2018 - 12:40
fonte

Leggi altre domande sui tag

Windows protegge l'MBR dalla sovrascrittura? Generazione di password crittograficamente sicura