Элементы блока UFW в журнале

У меня есть много этих записей в моем журнале:

Sep 22 12:20:23 server0187 kernel: [    7.267934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:23 server0187 kernel: [    7.688848] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:24 server0187 kernel: [    7.992988] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:32 server0187 kernel: [   16.219594] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=52457 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:39 server0187 kernel: [   23.217712] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:40 server0187 kernel: [   24.130220] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:44 server0187 kernel: [   28.063447] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33267 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:45 server0187 kernel: [   29.063934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33268 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:47 server0187 kernel: [   31.063621] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33269 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.272558] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.667044] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:08 server0187 kernel: [   52.296316] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=22917 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:39 server0187 kernel: [   83.646607] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=151.233.57.112 DST=se.rv.er.ip LEN=44 TOS=0x00 PREC=0x00 TTL=37 ID=56703 PROTO=TCP SPT=25625 DPT=23 WINDOW=30217 RES=0x00 SYN URGP=0 

мой ufw правила являются довольно стандартными:

22/tcp (OpenSSH)           ALLOW IN    Anywhere                  
80,443/tcp (Nginx Full)    ALLOW IN    Anywhere                  
80,443/tcp                 ALLOW IN    Anywhere                  
25                         ALLOW IN    Anywhere                  
143                        ALLOW IN    Anywhere                  
993                        ALLOW IN    Anywhere                  
22                       ALLOW IN    Anywhere                  
21                       ALLOW IN    Anywhere                  
21/tcp                   ALLOW IN    Anywhere                  
22/tcp (OpenSSH (v6))      ALLOW IN    Anywhere (v6)             
80,443/tcp (Nginx Full (v6)) ALLOW IN    Anywhere (v6)             
80,443/tcp (v6)            ALLOW IN    Anywhere (v6)             
25 (v6)                    ALLOW IN    Anywhere (v6)             
143 (v6)                   ALLOW IN    Anywhere (v6)             
993 (v6)                   ALLOW IN    Anywhere (v6)             
22 (v6)                  ALLOW IN    Anywhere (v6)             
21 (v6)                  ALLOW IN    Anywhere (v6)             
21/tcp (v6)              ALLOW IN    Anywhere (v6) 

Как я избавляюсь от них?

4
задан 22 September 2016 в 05:26

3 ответа

перед чтением этого ответа рассмотрите следующее:

  1. существует 65 534 доступных порта (1 - 65534) при соединении с системой и набором различных протоколов; это означает, что существует ОГРОМНОЕ количество "заблокированных" соединений потенциала на основе любого критерия, настраивается в Ваших правилах брандмауэра для 'разрешенного трафика'.

  2. Что-либо направление Интернета будет делать пересадку попытки от различных вещей до поля, таких как:

    • Законный Разрешенный Трафик
    • Сервисные сканеры
    • Грубые садоводы
    • Вредоносное программное обеспечение / Хакеры
    • и т.д. (в значительной степени что-либо, что хочет к попытка и подключение, или позволенный или не).
  3. Что-либо публично направление с Интернетом получит вещи, пытающиеся найти сервисы, работающие на системе или попытаться просканировать поле для потенциальных точек нарушения. Следовательно BLOCK предупреждения в системном журнале.

  4. предупреждения "БЛОКА" Брандмауэра означают, что Ваш брандмауэр работает, как предназначено, и Вы не должны действительно быть супер обеспокоены наблюдением большого количества этих предупреждений, особенно если Ваша система непосредственно стоит перед Интернетом (а не позади маршрутизатора, и т.д.).

<час>

Теперь для обращения к беспокойству в комментариях о "существует много этих записей" и "вот почему я волнуюсь".

при выполнении брандмауэра белого списка с UFW существует правило по умолчанию, добавленное в результате конфигураций UFW по умолчанию, которые автоматически добавят LOG правило для любого трафика, не принятого или иначе обработанного правилами брандмауэра. Например, скажем, то, что у меня есть сервер, и я установил его для разрешения только SSH от IP-адреса 1.2.3.4. Любой другой трафик к моему серверу не имел отношение к трафику с сервера, идущего, исходящий или трафик SSH с 1.2.3.4 на мой сервер (и наоборот в противоположном направлении) будет заблокирован, и UFW BLOCK, предупреждение выйдет в системные журналы, чтобы указать, что трафик, который не соответствует одному из моих разрешенных правил, был заблокирован. (Таким образом, только трафик от 1.2.3.4 для портирования 22 (SSH), или связанный двунаправленный трафик к тому соединению, инициирует BLOCK предупреждение)

, Вы должны быть обеспокоены этим? Абсолютно нет. веб-услуги по направлению, серверы, сети, и т.д. добираются тонна из трафика им, от сервисных сканеров, законных соединений, злонамеренных агентов угрозы, и т.д. Это весьма обычно для наблюдения большого количества попыток соединиться с сетью с внешней стороны из больших спектров IP-адресов, если система/сервер является интернет-направлением, потому что тот тип трафика обычно блокируется.

<час>

Теперь для рассматривания исходного вопроса того, как отключить UFW BLOCK предупреждения. В то время как я не рекомендую отключить предупреждения (потому что это указывает, что Ваш брандмауэр работа, как предназначено ), можно отключить объекты журнала предупреждений UFW путем выполнения следующего:

sudo ufw logging off

Примечание, которое я действительно не рекомендую Вам, отключает Ваше журналирование заблокированного трафика, если Вам действительно не нужно к (такие как системный журнал, поднимающий слишком много дискового пространства, которое не действительно настолько распространено даже в этих случаях), но Вам решать делаете ли Вы или нет.

8
ответ дан 23 November 2019 в 11:41

Если журналы являются раздражающими Вы, потому что они загрязняют Ваш системный журнал, отредактируйте /etc/rsyslog.d/20-ufw.conf, последняя строка (в 18,04), чтения

# & stop

удаляют # и затем перезапускают вход:

sudo service rsyslog restart

Теперь необходимо смочь найти, что ufw регистрируется только в /var/log/ufw.log

3
ответ дан 23 November 2019 в 11:41

Нет никакого явного правила отклонить tcp/23 (telnet) в существующих правилах в этом сообщении, неявное правило отклоняет/регистрирует (значение по умолчанию). Чтобы остановить вход и все еще отклонить - создают явное, отклоняют правило в на ens3.

ufw отклоняют в на ens3 к любому порту 23

или просто брандмауэр telnet для отклонения telnet в во всех интерфейсах в хосте:

ufw отклоняют в 23

1
ответ дан 23 November 2019 в 11:41

Другие вопросы по тегам:

Похожие вопросы: