LINUX.ORG.RU
ФорумAdmin

udp 53588 iptables logs

 


0

1

Подскажите кто знает, почему в логах множество записей с протоколом udp и входящим портом 53588?

Настроил фаерволл, в конце фаерволла все цепочки по стандарту DROP и установил логирование всего, что не разрешено:

$IPTABLES -A INPUT -j LOG --log-prefix "INPUT DROP: " --log-level 4

INPUT DROP: IN=ens18 OUT= MAC=00:50:56:00:00:36:0c:86:10:f5:c4:89:08:00 SRC=202.229.143.139 DST=1.1.1.1 LEN=134 TOS=0x00 PREC=0x00 TTL=104 ID=33216 PROTO=UDP SPT=38324 DPT=53588 LEN=114 
INPUT DROP: IN=ens18 OUT= MAC=00:50:56:00:00:36:0c:86:10:f5:c4:89:08:00 SRC=14.136.184.57 DST=1.1.1.1 LEN=126 TOS=0x00 PREC=0x00 TTL=54 ID=5336 PROTO=UDP SPT=12146 DPT=53588 LEN=106 
INPUT DROP: IN=ens18 OUT= MAC=00:50:56:00:00:36:0c:86:10:f5:c4:89:08:00 SRC=138.19.160.72 DST=1.1.1.1 LEN=129 TOS=0x00 PREC=0x00 TTL=118 ID=25115 PROTO=UDP SPT=12338 DPT=53588 LEN=109 
INPUT DROP: IN=ens18 OUT= MAC=00:50:56:00:00:36:0c:86:10:f5:c4:89:08:00 SRC=188.163.116.156 DST=1.1.1.1 LEN=131 TOS=0x00 PREC=0x00 TTL=57 ID=5976 PROTO=UDP SPT=10094 DPT=53588 LEN=111 
INPUT DROP: IN=ens18 OUT= MAC=00:50:56:00:00:36:0c:86:10:f5:c4:89:08:00 SRC=178.148.76.111 DST=1.1.1.1 LEN=126 TOS=0x00 PREC=0x00 TTL=119 ID=21012 PROTO=UDP SPT=13004 DPT=53588 LEN=106 
INPUT DROP: IN=ens18 OUT= MAC=00:50:56:00:00:36:0c:86:10:f5:c4:89:08:00 SRC=180.44.52.2 DST=1.1.1.1 LEN=145 TOS=0x00 PREC=0x00 TTL=112 ID=1896 PROTO=UDP SPT=35271 DPT=53588 LEN=125  

Как видно по логам, все эти не разрешенные запросы стучатся в входящий (порт сервера) порт 53588. Для чего этот порт предназначен и почему они стучатся - найти ответы не могу.

p.s. еще было бы полезно, если бы подсказали как убрать столбик mac из логов, бесполезный


Ответ на: комментарий от momi

Можно посмотреть tcpdump, в части летит ли что-то от вас с 53588/udp.
Если летит то смотреть какой софт это отправляет (может банально торенты и другие децентрализованные системы). Если нет и у вас все робит, и не забивает канал, то забыть и забить.

anc ★★★★★ ()
Ответ на: комментарий от anc

Я настраиваю систему и вот разбираюсь с этими забивающими логами, чтобы исправить момент.

Думаю, что логировать все запрещенное (я же запретил) и фиксить отдельными моментами, чем просто запретить и не ведать что происходит, у кого-то могут быть проблемы и не понимать из-за чего. А так все видно: клиента 5.5.5.5 дропнуло, потому что он ....

momi ()