blog.maurix.net

Im Zuge einer Installation von Nextcloud auf einem meiner Pi4, habe ich auf dem System auch UFW installiert. Per Zufall habe ich für ufw das Logging auf "medium" gestellt und festgestellt, dass einige merkwürdige Anfragen von anderen Geräten aus dem LAN über die Firewall des Pi laufen, obwohl keinerlei Kommunikation vorgesehen, geschweige denn konfiguriert ist.

Aug 13 11:16:21 pi44 kernel: [1370426.323146] [UFW AUDIT] IN=eth0 OUT= MAC=01:00:5e:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.2.102 DST=224.0.0.251 LEN=550 TOS=0x00 PREC=0x00 TTL=255 ID=5178 PROTO=UDP SPT=5353 DPT=5353 LEN=530

Dies betrifft alle iDevices, in meinem Fall ein iPhone, ein Apple TV und einen HomePod Mini.

Der Port 5353 wird für Multicast DNS genutzt. Die iDevices fragen also permanent in das gesamte Netzwerk nach DNS Servern. Muss man auch erst einmal wissen.

Die Fritzbox macht übrigens ebenfalls reine (IP) Multicast Anfragen:

Aug 13 11:19:07 pi44 kernel: [1370592.098939] [UFW BLOCK] IN=eth0 OUT= MAC=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=192.168.2.1 DST=224.0.0.1 LEN=36 TOS=0x00 PREC=0xC0 TTL=1 ID=27147 DF PROTO=2

Ohne UFW wäre mir also nicht aufgefallen, wie geschwätzig einige Geräte im Netz sind.

Mit

ufw logging low
service ufw restart

ist es jedenfalls deutlich ruhiger im ufw-Log.