Что означают записи журнала аудита UFW?
У меня была аналогичная проблема после редактирования решения /etc/default/locale
для меня было изменение языкового стандарта в /etc/default/locale на содержимое по умолчанию для этого файла: LANG="en_US.UTF-8" LANGUAGE="en_US"
Как описано в этом ответе: https://askubuntu.com/a/634161/516072
30 ответов
Задайте свой журнал на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
-
1Уровень журнала находится в меню параметров. – MUY Belgium 29 October 2017 в 00:36
-
2Меню меню @MUYBelgium какого инструмента? – jrg♦ 29 October 2017 в 00:58
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
Задайте регистрацию на low, чтобы удалить сообщения AUDIT.
Цель AUDIT (из того, что я вижу) связана с нестандартным / рекомендуемым протоколированием - это догадка, и я не могу найти ничего конкретного с этим.
-
1
-
2
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для только что переданного пакета.
Некоторые из них :
TOS, для типа обслуживания, DST - это IP-адрес назначения, SRC - источник ip TTL - время для жизни, маленький счетчик уменьшался каждый раз, когда пакет передается через другой маршрутизатор (так что если есть цикл , пакет уничтожает сам один раз до 0). DF - это бит «не фрагментировать», запрашивая, чтобы пакет не был фрагментирован при отправке PROTO - это протокол (в основном TCP и UDP). SPT является исходным портом. DPT - это порт назначенияи т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объяснено более подробно, чем я мог когда-либо сделать.
Давайте возьмем первое, что означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я предполагаю, что кто-то пытается использовать ваш компьютер в качестве сервера ntp, вероятно, по ошибке.
Для другой линии это любопытно, это трафик на l oopback interface (lo), то есть это никуда не денется, оно идет и приходит с вашего компьютера.
Я бы проверил, что что-то прослушивает на TCP-порту 30002 с помощью lsof или netstat. [!d24 ]
-
1Спасибо. Порт 30002 - управляющий арбитром монгодба. Я ничего не знаю о ntp, хотя я должен волноваться? – Tom 28 May 2012 в 23:22
-
2Нет. NTP - это просто установить время, которое вы, вероятно, уже использовали, не зная (когда вы проверяете «использовать сеть для синхронизации времени» в gnome, она использует ntp). Это просто синхронизирует время по сети. Возможно, ip был частью глобального пула ntp-сети ( pool.ntp.org/fr ), следовательно, запрос от кого-то в Интернете? – Misc 28 May 2012 в 23:25
В дополнение к тому, что было сказано, также можно сделать вывод о том, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень полезно для этого, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, располагаются в файле /etc/ufw/before.rules.
Например, приведенные ниже строки допускают соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые запускаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных /etc/ufw/before.rules пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивировать их - это запустить следующее:
[F5]Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353
Это зависит от линии. Обычно это значение Field =.
Существует IN, OUT, входящий интерфейс или исходящий (или оба для пакета, которые только что переданы.
Некоторые из них :
- TOS, для типа обслуживания,
- DST - назначение ip,
- SRC - источник ip
- TTL is время ожидания, малый счетчик уменьшался каждый раз, когда пакет передавался через другой маршрутизатор (поэтому, если есть цикл, пакет уничтожает сам один раз до 0)
- DF - это бит «не фрагментировать», просить пакет не фрагментироваться при отправке
- PROTO - это протокол (в основном TCP и UDP)
- SPT - это порт источника
- DPT - это порт назначения
и т. д.
Вы должны взглянуть на документацию TCP / UDP / IP, где все объясняется более подробно, чем я мог когда-либо делать.
Возьмем первый, это означает, что 176.58.105.134 отправил UDP-пакет на порт 123 для 194.238.48.2. Это для ntp. Поэтому я думаю, кто-то пытается использовать ваш компьютер в качестве сервера ntp, lik ely по ошибке.
Для другой линии это любопытно, это трафик на loopback-интерфейсе (lo), т.е. это никуда не денется, оно идет и приходит с вашего компьютера.
I будет проверять, что что-то прослушивает на порту tcp 30002 с помощью lsof или netstat.
-
1Спасибо. Порт 30002 - управляющий арбитром монгодба. Я ничего не знаю о
ntp, хотя я должен волноваться? – Tom 28 May 2012 в 23:22 -
2Нет. NTP - это просто установить время, которое вы, вероятно, уже использовали, не зная (когда вы проверяете «использовать сеть для синхронизации времени» в gnome, она использует ntp). Это просто синхронизирует время по сети. Возможно, ip был частью глобального пула сети ntp ( pool.ntp.org/fr ), следовательно, запрос от кого-то в Интернете? – Misc 28 May 2012 в 23:25
В дополнение к тому, что было сказано, также можно сделать вывод, что будет регистрироваться, проверяя правила iptables. В частности, правила сопоставления, которые регистрируются, могут быть отфильтрованы следующим образом: sudo iptables -L | grep -i "log":
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Это по большей части правила по умолчанию. Проверка вывода выше показывает цепочки ufw-before-* для генерации журналов [UFW AUDIT ..].
Я не большой эксперт по iptables, и руководство UFW не очень помогает в этом, но насколько это возможно Я могу сказать, что правила, соответствующие этой цепочке, находятся в /etc/ufw/before.rules .
Например, строки, приведенные ниже, позволяют соединения с обратной связью, которые могли бы вызвать две последние строки примера в вашем журнале (те, которые начинаются с [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
Что касается моей стороны, я получаю много зарегистрированных LLMNR пакетов на порт 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Я думаю, что это вызвано следующим в rules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
. Один из способов деактивации - это запустить следующее:
sudo ufw deny 5353