Port 45601 ?

Support Debian
#1

J’ai installé UFW sur mon serveur (Buster). Tout les ports sont fermés en entrée par défaut et j’ai ouvert les ports qui me sont utiles. Tout les ports sont ouvert en sortie par défaut.

Aucun problème apparent, mais j’ai de nombreux message dans syslog que je ne comprend pas.
Mon réseau local est en 192.168.0.*
Les messages sont de la forme :

[UFW BLOCK] IN=eth0 OUT= MAC= SRC=IpDuServeur DST=228.10.56.1 LEN=152 TOS=0x08 PREC=0x00 TTL=8 ID=53212 DF PROTO=UDP SPT=45601 DPT=45601 LEN=132

Pour moi les adresses en 228.10.*.* sont des adresses internes, mais je n’utilise pas cette plage d’adressage.
Syslog contient environ 1600 erreur par jour pour le port 45601, mais également environ 800 pour chacun des ports 43101, 44101 et 45101.

Je ne sait pas par où commencer pour trouver pourquoi mon serveur cherche à se connecter sur ces adresses avec ces ports, ni pourquoi UFW les bloque.

#2

Les adresses privées sont 10.0.0.0 - 10.255.255.255, 172.16.0.0 - 172.31.255.255, et 192.168.0.0 - 192.168.255.255
Si tu utilises ces adresses là pour toi et qu’elles ne t’ont pas été attribuées, tu bloques l’accés à une partie du net sur ton réseau.

Tu en as qui essayent d’entrer ? Il y a des trucs en LISTEN sur ces ports ?

Peut être simplement parceque lui non plus ne sait pas ce que c’est ? :smiley:

#3

Une adresse IPv4 telle que 228.10.56.1 fait partie de la plage d’adresses pour le multicast : https://fr.wikipedia.org/wiki/Multicast#IPv4

Il apparaît normal qu’elle soient reçues à partir du moment où un appareil sur le même réseau Ethernet émet des paquets en multicast. Il faut aussi que le multicast ne soit pas géré par le(s) switch(es) et donc transformé en broadcast, ou alors que le serveur sous Buster utilise IGMP pour indiquer vouloir recevoir ces paquets.

Si l’émetteur des paquets est sûr le même réseau Ethernet, utiliser tcpdump ou wireshark doit pouvoir permettre d’identifier l’adresse MAC de l’expéditeur.
Une fois l’adresse MAC obtenue, vérifier chaque machine du réseau. Ou alors utiliser la FDB (table des adresses MAC vis à vis des ports et VLAN) de l’éventuel switch manageable pour tracer la machine. Ou encore, utiliser nmap pour faire un ping sur chaque machine du réseau et consulter la table ARP de Linux avec la commande ip -4 neigh ls .


AnonymousCoward

1 J'aime
#4

Effectivement, la plage d’adresses est Multicast et non Privée, autant pour moi.

L’analyse avec tcpdump m’a permis de comprendre que les paquets était émis par une vieille installation de Funambol que je n’utilise plus depuis de nombreuses années :frowning:
Après désactivation de ce service, les log ont cessé.

Merci pour votre aide :slight_smile: