UFW parece bloquear las conexiones desde una dirección remota, pero NAT está deshabilitado en mi enrutador

2

Me gustaría entender qué significa exactamente la siguiente línea, ya que se pueden encontrar líneas similares en el registro de mi sistema con bastante frecuencia y no espero ninguna.

[UFW BLOCK] IN=enp2s0 OUT= MAC=72:8a:bd:21:93:eb:00:02:2a:00:6c:c5:08:99 SRC=45.32.243.178 DST=192.168.0.75 LEN=28 TOS=0x00 PREC=0x00 TTL=241 ID=50074 PROTO=UDP SPT=60000 DPT=52346 LEN=8

UFW tiene el siguiente estado, todos mis puertos deberían estar cerrados:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

Mi PC tiene una IP local (192.168.x.x) y está detrás de un enrutador que se encuentra frente a la Internet pública que no tiene reglas habilitadas para NAT, así que supongo que todos los puertos están cerrados y no se supone que el tráfico llegue a la red local. No estoy seguro de entender esa línea en el registro, pero parece que bloqueó una conexión de una IP pública en Internet a la IP local de mi PC. ¿Cómo es esto posible, dado que mi enrutador no debe permitir el tráfico? ¿Hay alguna explicación o hay alguna prueba que pueda realizar para verificar mi configuración? En el pasado, tuve que abrir puertos explícitamente (con reglas de NAT) en mi enrutador si quería que alguien se conectara a un servicio que se ejecuta en mi PC, así que diría que estoy bastante seguro de que debería estar bloqueando todo de forma predeterminada Ahora, a menos que algo esté muy mal.

    
pregunta reed 26.04.2018 - 23:34
fuente

1 respuesta

2

Como su pregunta no es precisa en algunos puntos, hago algunas suposiciones aquí:

  • Su "enrutador" es un enrutador COTS, en realidad un dispositivo NATing, no un enrutador real.
  • Tiene más de un dispositivo dentro de la red.
  • No ha configurado el enrutador COTS de una manera específica, dejándolo en la configuración predeterminada (tal vez además de cambiar la contraseña de WiFi).

Hay varias posibilidades que pueden conducir a este tipo de registros y en parte estoy incorporando comentarios sobre la pregunta en esta respuesta.

  • Su enrutador podría estar comprometido y haber habilitado el reenvío de puertos sin que usted pueda ver esto en la GUI.
  • Otra máquina en su red podría verse comprometida y enviar paquetes UDP con direcciones IP falsificadas.
  • Es posible que su máquina se vea comprometida y abierta a ese envío enviando primero un paquete (aún así, esto generalmente no funciona de manera directa para UDP).
  • Su máquina (tal vez por razones legítimas, como las redes peer to peer) puede estar solicitando un enlace efímero del enrutador a través de uPnP .

En términos generales, no debe confiar en un NAT como un tipo de firewall. Si bien generalmente proporciona (algunos de) el efecto, no está diseñado para la seguridad sino para la usabilidad. Por otro lado, parece que está utilizando un filtro de paquetes local, que podría configurarse de manera más rigurosa con respecto a los paquetes salientes, lo que puede ayudar a reducir significativamente el riesgo.

    
respondido por el Tobi Nary 27.04.2018 - 12:40
fuente

Lea otras preguntas en las etiquetas