Hoje, listei meu iptables para uma verificação de rotina - e descobri duas regras UFW estranhas que não me lembro de ter configurado, referindo-se a dois endereços IP específicos que não consigo identificar:
-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT
Isso é meio assustador. Alguém conseguiu invadir meu servidor e adicionar essas regras? Se não, o que aconteceu?
(E se algum agente malicioso invadiu meu firewall, por que ele usaria as portas 5353 e 1900, que não estão sendo encaminhadas pelo meu roteador??)
Citando
man ufw:Portanto, essas duas regras que você está vendo fazem parte das
ufwconfigurações padrão do e permitem que os serviços mDNS e UPnP funcionem.O Google diz que esses endereços IP estão relacionados ao Simple Service Discovery Protocol (SSDP)/uPnP e iTunes. Portanto, é provável que essas regras estejam relacionadas ao software que você instalou e ao compartilhamento de informações em uma LAN.
whoisnão retorna nenhuma informação para nenhum IP.Ver
https://stackoverflow.com/questions/12483717/what-is-the-multicast-doing-on-224-0-0-251
e
https://wiki.wireshark.org/SSDP