我的防火墙configuration的核心部分是:
-A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT RELATED似乎不适用于多播响应:当主机发送到多播组(在我的情况下是一个UPnP SSDP发现,到239.255.255.250:1900),从一个特定的IP地址相应的响应回到发送者的随机select端口被丢弃。
什么是正确的方式来维护 – --state ESTABLISHED,RELATED语义,但使响应匹配的组播工作?
这是多播的问题:netfilter永远不能确定它是否相关。
您可以允许UPnP SSDP的唯一方法是:
-A INPUT -p udp --sport 1900 -j ACCEPT
除了现有的ESTABLISHED,RELATED规则之外。