Два вопроса по UPnP и iptables в 2.16.D.1.0-0

[Albram]

Исходные данные: Keenetic Ultra (старый чёрный) с прошивкой 2.16.D.1.0-0 и Entware BusyBox v1.31.0.

1. Недавно в "Сетевые правила -> Переадресация" появился открытый через UPnP порт. Мне понятно, что источником его открытия был недавно начавший использоваться AnyDesk, но непонятно почему он открыт именно на этот интерфейс от VMware, хотя AnyDesk используется не из виртуальных машин, а локально на компе с адресом из локальной подсети 192.168.1.0/24. Правило это не удаляется после прекращения использования AnyDesk. Адрес 192.168.127.1 пингуется, т.к. этот сетевой интерфейс поднят.

Собственно вопрос: оно не должно удаляться само, и нужно ли оно вообще?

Скрытый текст

Адаптер Ethernet VMware Network Adapter VMnet8:

   DNS-суффикс подключения . . . . . :
   Описание. . . . . . . . . . . . . : VMware Virtual Ethernet Adapter for VMnet8
   Физический адрес. . . . . . . . . : 00-xx-xx-xx-00-08
   DHCP включен. . . . . . . . . . . : Нет
   Автонастройка включена. . . . . . : Да
   Локальный IPv6-адрес канала . . . : fe80::5c62:6d16:894d:b3cc%12(Основной)
   IPv4-адрес. . . . . . . . . . . . : 192.168.127.1(Основной)
   Маска подсети . . . . . . . . . . : 255.255.255.0
   Основной шлюз. . . . . . . . . :
   IAID DHCPv6 . . . . . . . . . . . : 503337046
   DUID клиента DHCPv6 . . . . . . . : 00-01-00-01-xx-xx-xx-4E-00-xx-xx-xx-xx-xx
   DNS-серверы. . . . . . . . . . . : fec0:0:0:ffff::1%1
                                       fec0:0:0:ffff::2%1
                                       fec0:0:0:ffff::3%1
   NetBios через TCP/IP. . . . . . . . : Включен

 

2. В правилах iptables увидел вот это, это нормально?

Скрытый текст

В таблице nat:
Chain _NDM_MASQ (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1       78  7953 _NDM_MASQ_BYPASS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        0     0 _NDM_NAT_UDP  udp  --  *      *       192.168.1.0/24       0.0.0.0/0            udpUNKNOWN match `ndmmark'
3        2   116 MASQUERADE  all  --  *      *       192.168.1.0/24       0.0.0.0/0           UNKNOWN match `ndmmark'

В таблице mangle:
Chain _NDM_BACKUP_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0           UNKNOWN match `connndmmark' [8 bytes of unknown target data]
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0           UNKNOWN match `connndmmark'

 

 

[Le ecureuil]

1. Надо смотреть запросы upnp, там будет понятно кто, зачем и насколько открывает порт.

2. Да, видимо у вас нет патча на iptables, но это некритично.

[Albram]

8 часов назад, Le ecureuil сказал:

2. Да, видимо у вас нет патча на iptables, но это некритично.

Спасибо за ответы.

Этот пропатченый пакет подойдёт для старой ультры с прошивкой 2.16? Текущая версия iptables такая же - 1.4.21. И не будет ли проблем при использовании маркировки в Entware после установки патча?

Изменено 4 февраля, 2020 пользователем Albram

[Albram]

8 часов назад, Albram сказал:

Этот пропатченый пакет подойдёт для старой ультры с прошивкой 2.16? Текущая версия iptables такая же - 1.4.21

Отвечу сам себе: не подойдет, т.к. версии всё-таки разные и платформы отличаются.

Указанный выше: iptables_1.4.21-2_mipsel-3x.ipk, а сейчас установлен: iptables_1.4.21-3_mipsel-3.4_kn.ipk

Скрытый текст

Package: iptables
Version: 1.4.21-3
Depends: libc, libssp, librt, libpthread
Status: install user installed
Section: net
Architecture: mipsel-3.4_kn
Size: 170087
Filename: iptables_1.4.21-3_mipsel-3.4_kn.ipk
Description: IP firewall administration tool.

 Matches:
 - icmp
 - tcp
 - udp
 - comment
 - conntrack
 - limit
 - mac
 - mark
 - multiport
 - set
 - state
 - time

 Targets:
 - ACCEPT
 - CT
 - DNAT
 - DROP
 - REJECT
 - LOG
 - MARK
 - MASQUERADE
 - REDIRECT
 - SET
 - SNAT
 - TCPMSS

 Tables:
 - filter
 - mangle
 - nat
 - raw
Installed-Time: 1576431284

 

 

[TheBB]

20 часов назад, Albram сказал:

Отвечу сам себе: не подойдет, т.к. версии всё-таки разные и платформы отличаются.

Указанный выше: iptables_1.4.21-2_mipsel-3x.ipk, а сейчас установлен: iptables_1.4.21-3_mipsel-3.4_kn.ipk

Шо, опять? Вот же он http://bin.entware.net/mipselsf-k3.4/keenetic/iptables_1.4.21-3a_mipsel-3.4_kn.ipk

Апгрейд пакетов не делали? У него приоритет выше, и он должен автоматом ставиться.

[Albram]

4 минуты назад, TheBB сказал:

Шо, опять? Вот же он http://bin.entware.net/mipselsf-k3.4/keenetic/iptables_1.4.21-3a_mipsel-3.4_kn.ipk

Апгрейд пакетов не делали? У него приоритет выше, и он должен автоматом ставиться.

Upgrade делал месяца два назад. Сейчас глянул, действительно доступен новый пакет iptables. Буду апгрейдить. Спасибо.

Извиняюсь за беспокойство, сам оказался виноват 😐

~ # opkg update
~ # opkg list-upgradable

...

iptables - 1.4.21-3 - 1.4.21-3a
...

[TheBB]

1 минуту назад, Albram сказал:

Извиняюсь за беспокойство, сам оказался виноват 😐

нет, пакет был криво собран (патчи не применились)

[Albram]

33 минуты назад, TheBB сказал:

нет, пакет был криво собран (патчи не применились)

После апгрейда всё стало правильно, Спасибо!

Скрытый текст

Chain _NDM_MASQ (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1      719 87318 _NDM_MASQ_BYPASS  all  --  *      *       0.0.0.0/0            0.0.0.0/0
2        3   228 _NDM_NAT_UDP  udp  --  *      *       192.168.1.0/24       0.0.0.0/0            udp ndmmark match 0x4/0x4
3      112  6508 MASQUERADE  all  --  *      *       192.168.1.0/24       0.0.0.0/0            ndmmark match 0x4/0x4

Chain _NDM_BACKUP_FORWARD (1 references)
num   pkts bytes target     prot opt in     out     source               destination
1        0     0 CONNNDMMARK  all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x80 CONNNDMMARK restore mask 0x80
2        0     0 RETURN     all  --  *      *       0.0.0.0/0            0.0.0.0/0            CONNNDMMARK match  0x80/0x80