Я иногда получаю много этих записей журнала AUDIT в
...
[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
...
Что это означает? Когда они происходят и почему? Должен ли я отключить эти конкретные записи? Я не хочу отключать ведение журнала UFW, но я не уверен, полезны ли эти строки вообще.
Обратите внимание, что это на самом деле не происходит в /var/log/ufw.log
. Это происходит только в /var/log/syslog
. Почему это так?
Больше информации
- мое ведение журнала установлено на средний:
Logging: on (medium)
Это зависит от линии. Обычно это поле = значение.
Существует IN, OUT, входящий интерфейс или исходящий (или оба, для пакета, который только что передан.
Вот некоторые из них:
и т.п.
Вы должны взглянуть на документацию по TCP / UDP / IP, где все объясняется более подробно, чем я когда-либо мог бы сделать.
Давайте возьмем первый, это означает, что 176.58.105.134 отправил пакет UDP на порт 123 для 194.238.48.2. Это для
ntp
. Поэтому я думаю, что кто-то пытается использовать ваш компьютер в качестве сервера NTP, вероятно, по ошибке.Что касается другой линии, это любопытно, это трафик через интерфейс обратной связи (вот так), то есть он никуда не уходит, он идет и приходит с вашего компьютера.
Я бы проверил, если что-то прослушивает TCP-порт 30002 с
lsof
илиnetstat
.источник
ntp
том, должен ли я волноваться?Помимо сказанного, можно также сделать вывод о том, что будет регистрироваться, изучив правила iptables . В частности, соответствующие правила, которые регистрируются, могут быть отфильтрованы следующим образом
sudo iptables -L | grep -i "log"
:Это по большей части правила по умолчанию. Изучение выходных данных показывает
ufw-before-*
цепочки для создания журналов [UFW AUDIT ..].Я не большой специалист по iptables, и руководство по UFW не очень помогает в этом, но, насколько я могу судить, правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки ниже разрешают петлевые соединения, которые могли вызвать последние две строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
Что касается меня, я получаю много зарегистрированных пакетов LLMNR на порт 5353:
Которые, я думаю, вызваны следующим
rules.before
:Один из способов их деактивации - запустить следующее:
источник