У меня есть NAT box (Ubu 10.04), на котором выполняется ufw со следующим sudo ufw status verbose
:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
22480/tcp LIMIT IN Anywhere
Когда я nmap -PN -p 22 192.168.0.0/24
обнаружил, что все SSH работают на моем NATed (работает нормально) внутри сети я получаю следующее:
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-16 23:06 EDT
0 ports scanned on 192.168.0.0
Interesting ports on 192.168.0.1:
PORT STATE SERVICE
22/tcp closed ssh
Interesting ports on 192.168.0.2:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.3:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.4:
PORT STATE SERVICE
22/tcp filtered ssh
... Continuing for all 254 IPs ...
Обратите внимание, что на этих других IP-адресах нет машин (2, 3, 4, ...).
Почему это правило UFW вызывает это ?? Почему правило ввода UFW должно связываться со способностью nmap выходить из маршрутизатора во внутреннюю сеть? Это не вход, и для ufw задана конфигурация по умолчанию (за исключением описанного выше) для блокировки входных портов, а не для блокировки вывода на порты.
Кроме того, как я могу заставить его прекратить регистрировать все дерьмо, которое не важно, что он получает? Я хочу, чтобы он регистрировал данные, предназначенные для моего IP, но не передавал трафик с компьютеров Windows во внешней (маршрутизируемой) сети. Регистрация этого материала действительно делает журналы огромными.
Для ведения журнала ufw у ufw есть несколько разных уровней ведения журнала. Вы можете настроить их следующим образом: $ sudo ufw logging low
Если вы хотите вести журнал, но не все, вы можете установить уровень логирования, а затем вставить запрещающее правило в начале вашей цепочки. Например:
$ sudo ufw insert 1 deny to 192.168.1.255
Я ничего не знаю о UFW. Но nmap всегда возвращает отфильтрованный , если вы тестируете несуществующую машину, не обнаружив ее первым.
Если машина не отвечает, nmap не может знать, так ли это, потому что она не существует или просто потому, что игнорирует пакеты. Поскольку вы отключаете ping (-PN), Nmap не пытается обнаружить хосты, поэтому предполагает, что он существует и фильтрует пакеты.