Я настроил ufw
на поле, которое должно отображать только веб-сервер и SSH для внешнего мира:
# ufw default deny incoming
# ufw default allow outgoing
# ufw allow ssh
# ufw allow http
# ufw allow https
# ufw enable
Результат:
# ufw status
Status: active
To Action From
-- ------ ----
22/tcp ALLOW Anywhere
80/tcp ALLOW Anywhere
443/tcp ALLOW Anywhere
22/tcp (v6) ALLOW Anywhere (v6)
80/tcp (v6) ALLOW Anywhere (v6)
443/tcp (v6) ALLOW Anywhere (v6)
Я могу получить доступ к коробке через SSH, а также посмотреть веб-сайт. Но проверка /var/log/ufw.log
показывает, что некоторые входящие пакеты порта TCP 443 (https) заблокированы. Есть тонна, это только один пример:
Jun 15 07:35:09 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=16809 PROTO=TCP SPT=28910 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:09 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=17870 PROTO=TCP SPT=7158 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:09 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:a6:41:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=26100 PROTO=TCP SPT=24484 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:09 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=27154 PROTO=TCP SPT=59132 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:10 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=30397 PROTO=TCP SPT=28910 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:10 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=33789 PROTO=TCP SPT=7158 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:10 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:a6:41:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=46841 PROTO=TCP SPT=24484 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:10 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=49253 PROTO=TCP SPT=59132 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:11 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=54907 PROTO=TCP SPT=28910 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:11 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:79:c1:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=63351 PROTO=TCP SPT=7158 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Jun 15 07:35:39 blabla kernel: [UFW BLOCK] IN=eth0 OUT= MAC=**:**:**:**:**:**:**:**:**:**:a6:41:08:00 SRC=149.55.24.4 DST=**.**.**.** LEN=52 TOS=0x08 PREC=0x40 TTL=46 ID=64158 PROTO=TCP SPT=24484 DPT=443 WINDOW=65535 RES=0x00 ACK FIN URGP=0
Почему это? (Примечание: я замаскировал IP-адрес сервера и MAC-адрес, чтобы сохранить анонимность)
Я давно этого не видел. 99% моих заблокированных пакетов попадают в категорию широковещания (предназначено для 224.0.0.1 от моего беспроводного маршрутизатора). Я проверил IP 149.55.24.4, и, похоже, его сейчас нет.