お知らせ

  • 利用規約を守って投稿してください。また、よくある質問および投稿の手引きも参照してください。
  • メッセージの投稿にはアカウントが必要です。未登録の方は、ユーザ登録ページからアカウントを作成することができます。

#1 2017-09-11 22:48:59

kznj
新しいメンバ
登録日: 2013-12-03

ブロードバントルーターの外側から接続されてきたの通信がブロックされたというUFWログが記録される

最近UFWに奇妙なログが記録されていることに気がつきました。
下記に該当箇所を抜粋します。

Sep 11 01:37:52 ylijumala kernel: [  747.062740] [UFW BLOCK] IN=enp3s0 OUT= MAC=8c:89:a5:a6:d8:e5:50:01:d9:bb:8e:17:08:00 SRC=146.0.43.126 DST=192.168.100.100 LEN=1109 TOS=0x00 PREC=0x00 TTL=48 ID=4086 DF PROTO=TCP SPT=443 DPT=53050 WINDOW=535 RES=0x00 ACK PSH URGP=0

enp3s0 Linuxマシンの物理ethernetポート
192.168.100.100 同IPアドレス

自分がログを解釈したところでは以下の通りです。
a)IPアドレス192.168.100.100のLinuxマシンの物理ethernetポートに
b)146.0.43.126のマシンの443ポートから接続があって
c)それがUFWでブロックされた
d)146.0.43.126のアドレスは
 "http://whatismyipaddress.com"によるとred.gold-mail.comのもの
 (http://whatismyipaddress.com/ip/146.0.43.126)


そこで以下のことについてご教授ください。

1)上記のログの理解や読み方はあっていますか?

2)ログの読み方があっているとすると
 外部から(=WAN側から)ブロードバンドルーターを越えて
 LAN内部のLinuxマシンに接続してきたことになりますがそれはありえますか?
 (わたしのブロードバンドルーターのFWは内向き接続をを全て拒否しているはずなんです
  使っているブロードバンドルーターについては後述します)

3)ログの"PROTO=TCP SPT=443 DPT=53050"の部分からすると接続元がTCP/443(=https)に見えます。
 しかし普通は接続先が443(https)になって
 接続元が53050(エフェメラルポート、49152〜65535の動的・私的ポート)になるのではないでしょうか?
 それが逆になっているのはなにが起こっているのでしょうか?

4)3)を自分なりに解釈すると下記のようになります。
  ・ブラウザでどこかのサイト(httpデフォルトの80番)に接続した時に
   そのページのなかのJavascript(+AJAX)やSWF、JavaAppletが
   前述のホストへhttps接続をして接続確立(CONNECTED)した
  ・その後httpsでの接続がtimeout他で切断された後で
   該当のホスト側から同じ経路で再接続してきた
   (この再接続が善意か悪意かは不明)
 この理解は正しいでしょうか?

5)4)の理解が正しく且つ悪意があるとしたら
 このような接続を防ぐことはできるでしょうか?

以上よろしくお願いいたします。


〜補足情報〜

1)使用しているブロードバンドルーターについて

 機種名:Speed Wi-Fi HOME L01 (UQ wimax2+)
 ソフトウェアバージョン:11.191.01.00.824
 ファイヤウォール設定:
   この機種の設定として
   内向きはDMZ設定をしない限り全て拒否。
   外向きは初期状態では全て許可、禁止するものを個別に指定。
   (設定画面で指定する場合「拒否」「OUT(方向=外向き)」は固定で
    禁止にしかできない。許可やIN(内向き)に設定不可)

2)機器構成と環境

物理マシン(*1):ubuntuServer16.04LTS(64bit)(*2)+ubuntuDesktop(*3)+kvm他
 (enp3s0)IP:192.168.100.100   (br0)IP:192.168.110.100
  ↑               ↑
  |              (vnet0)
  |               ↓
  |              (ens3)IP:192.168.110.110
  |         KVMゲスト:ubuntuDesktop16.04LTS(64bit)(*4)
  |
 有線LAN
  |
  ↓(LAN側)IP:192.168.100.1
Speed Wi-Fi HOME
  ↑(WAN側)IP:(UQ Wimaxネットワーク内のプライベートアドレス)
  |
  ↓
Wimaxのインターネットへの接続点
   (グローバルIP)

*1:
 機種名:FRONTIER FRNZ714K/KD NZ
 CPU Intel(R) Core(TM) i7-2670QM CPU @ 2.20GHz
 MEM SODIMM DDR3 8GB×2
 NET RTL8111/8168/8411 PCI Express Gigabit Ethernet Controller

*2:
 ここでufwがBLOCKのログを記録した

*3:
 ベースをubuntu"Server"にしているので
 追加でubuntuDesktopを"--no-install-recommends"オプションでインストールしたもの
 (Libre OfficeやFirefoxが入っていない)

*4:
 通常使用している環境はこのVM(ブラウザを使うのもここ)

3)物理ホストのFW設定

To                         Action      From
--                         ------      ----
137,138/udp                ALLOW       Anywhere                 
139,445/tcp                ALLOW       Anywhere                 
111,2049,4000:4002/udp     ALLOW       Anywhere                 
111,2049,4000:4002/tcp     ALLOW       Anywhere                 
69/udp                     ALLOW       Anywhere                 
OpenSSH                    ALLOW       192.168.110.0/24         
137,138/udp (v6)           ALLOW       Anywhere (v6)             
139,445/tcp (v6)           ALLOW       Anywhere (v6)             
111,2049,4000:4002/udp (v6) ALLOW       Anywhere (v6)             
111,2049,4000:4002/tcp (v6) ALLOW       Anywhere (v6)             
69/udp (v6)                ALLOW       Anywhere (v6)

オフライン

 

#2 2017-09-13 01:27:08

favicon.ico
メンバ
登録日: 2010-09-06

Re: ブロードバントルーターの外側から接続されてきたの通信がブロックされたというUFWログが記録される

外部からの接続ではないです
ufw (というか iptables) でセッションのステートが変わった(ESTABLISHED じゃなくなった)ため
「戻りパケット」がブロックされたのでしょう

146.0.43.126 の逆引きは red.gold-mail.com ですが、red.gold-mail.com の正引きは違うアドレスなので
ページ内の URL は red.gold-mail.com では無いと思います

オフライン

 

Board footer

Powered by FluxBB