Почему я получаю много журналов [UFW_BLOCK] Журналов для IP-адресов клиентов и переключателей?

У меня есть сервер базы данных MariaDB, который является узлом моего кластера Galera Cluster, и когда я смотрю на файл /var/log/ufw.log, я вижу много логов UFW_BLOCK для IP-адресов клиентов, которые были подключены к базе данных и успешно выполнили операции. Я также подключаюсь к базе данных со своей машины и вижу, что мой IP адрес также записан как UFW_BLOCK, но у меня не было ошибок или других прерываний во время моих подключений к базе данных. Я также увидел некоторые IP адреса, которые записаны в журнал с помощью UFW_BLOCK, которые я не знаю. Когда я искал и проверял эти IP, я видел, что это были IP адреса коммутаторов LAN. Почему это происходит и что я должен делать? Эта ситуация создает проблемы? Должен ли я разрешить эти IP адреса на iptables?

Журнал с примером здесь:

Mar 3 12:14:47 DB-Srv1 kernel: [6300510.451352] [UFW BLOCK] IN=ens160 OUT= Mac=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.85.222 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=19898 PROTO=2
1
задан 4 March 2021 в 08:33

1 ответ

Мы внесли изменения в нашу системную службу:

[Unit]
Description=change dhcpd.leases permissions
After=isc-dhcp-server.service

[Service]
Type=oneshot
WorkingDirectory=/var/lib/dhcp
ExecStartPre=/bin/sleep 30
ExecStart=chown -R whisker:whisker /var/lib/dhcp/
User=root

[Install]
WantedBy=multi-user.target

Это несколько иной подход, чем мы пытались раньше, но это лучший подход. chmod 777 опасен, так как делает файл доступным для чтения, записи и выполнения всеми. Вместо этого эта служба изменяет владельца файла, где whisker - имя пользователя. Приложение работает как виски пользователя, поэтому теперь приложение умеет читать и писать файл dhcpd.leses, который является именно тем, что мы хотим. Владелец всего каталога/var/lib/dhcp должен быть изменен в отличие от файла dhcpd.leses в соответствии с этим . Как мы поняли, файл dhcpd.leses ~, имеющий разрешения по умолчанию, время от времени перезаписывает файл dhcpd.leses, включая установленные разрешения. Это поведение можно устранить, изменив владельца каталога. В результате при перезагрузке системы владелец файла не возвращается.

-121--909177-

Для получения более воспроизводимых результатов рекомендуется удалить локально установленные R с помощью

sudo rm /usr/local/bin/R

, а затем установить версию из официальных репозиториев с помощью

sudo apt-add-repository universe
sudo apt-get update
sudo apt-get install r-base-dev

, а затем протестировать установку с помощью R-версии .

-121--909136-

Для TCP-соединений Linux, как правило, использует «полудуплексную» последовательность закрытия, где каждая сторона сессии может инициировать завершение соединения посредством однонаправленного двухстороннего квитирования FIN-ACK (что переводит соединение в CLOSE_WAIT состояние), вместо полного четырехстороннего FIN-ACK Когда маршрутизатор находится между ними, это часто приводит к тому, что один конец забывает о соединении раньше другого, что приводит к UFW_BLOCK наблюдаемым сообщениям.

Вы не привели никаких примеров, поэтому этот ответ не является однозначным. Просмотрите флаги TCP в записях журнала, чтобы узнать, связаны ли они с завершением сеанса. Или отредактируйте вопрос, добавив несколько примеров.

EDIT:

Пример записи журнала: многоадресный пакет . Совершенно не связан ни с одним из ваших полезных клиентских пакетов.

Вы также можете наблюдать пакеты, к которым применяется мой первоначальный ответ.

0
ответ дан 18 March 2021 в 23:29

Другие вопросы по тегам:

Похожие вопросы: