我的 iptables 配置中添加了奇怪的新规则...我的服务器被黑了吗？

Question

今天，我列出了我的 iptables 进行例行检查，发现了两个我不记得自己设置过的奇怪的 UFW 规则，它们涉及两个我无法识别的特定 IP 地址：

-A ufw-before-input -d 224.0.0.251/32 -p udp -m udp --dport 5353 -j ACCEPT
-A ufw-before-input -d 239.255.255.250/32 -p udp -m udp --dport 1900 -j ACCEPT

这有点可怕。有人设法侵入我的服务器并添加这些规则吗？如果没有，发生了什么？

（如果某些恶意代理确实侵入了我的防火墙，为什么他们会使用端口 5353 和 1900，这些端口没有被我的路由器转发？）

Answer 1

引用man ufw：

\n\n

NOTES\n       On installation, ufw is disabled with  a  default  incoming  policy  of\n       deny,  a  default forward policy of deny, and a default outgoing policy\n       of allow, with stateful tracking for NEW connections for  incoming  and\n       forwarded  connections.  In addition to the above, a default ruleset is\n       put in place that does the following:\n\n       [ ... ]\n\n       - ACCEPT mDNS (zeroconf/bonjour/avahi 224.0.0.251 for IPv4 and ff02::fb\n       for IPv6) for service discovery (INPUT)\n\n       - ACCEPT UPnP (239.255.255.250 for IPv4 and ff02::f for IPv6) for ser\xe2\x80\x90\n       vice discovery (INPUT)\n

\n\n

因此，您看到的这两条规则是默认设置的一部分ufw，允许 mDNS 和 UPnP 服务工作。

\n