了解 UFW 日志

了解 UFW 日志

这个 UFW 日志是什么意思?已经问过类似的问题,但我想明确知道 UFW 日志的每一行是什么意思

Feb  6 16:27:08 jonasgroenbek kernel: [71910.873115] 
[UFW BLOCK] IN=eth0 OUT= 
MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00 
SRC=77.72.85.26 DST=157.230.26.180
LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP 
SPT=42772 DPT=3194 WINDOW=1024                        
RES=0x00 SYN URGP=0

为了我的(并且希望是其他人的)可行性,我非常希望简要地描述每个单独的部分。

答案1

UFW 只是 iptables 的前端,因此这些日志条目实际上来自 iptables。

第 1 行:Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]

日期和时间、您的计算机名称以及自启动以来的内核时间。

第 2 行:[UFW BLOCK] IN=eth0 OUT=

每当 iptables 进行日志记录时,都会有一个可选的--log-prefix,在本例中为[UFW BLOCK]。UFW 最令人讨厌的地方在于它对每种类型的日志条目都使用相同的前缀,这使得很难与 iptables 规则集关联起来。 是IN数据包到达的网络接口名称。 为OUT空白,因为数据包未被重新传输,如果这是路由器应用程序,则可能存在这种情况。

第 3 行:MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00

这些是本地目标(a6:8d:e2:51:62:4c (eth0))和源(f0:4b:3a:4f:80:30)网络接口卡的机器地址代码。在您的情况下,源可能是您的 ISP 网关 NIC 的 MAC。每个 6 个字节。末尾的额外 2 个字节(08:00)是帧类型,在本例中,它表示“以太网帧携带 IPv4 数据报”。

第 4 行:SRC=77.72.85.26 DST=157.230.26.180

这些是数据包的来源 IP 地址、SRC,以及它应该去往何处、DST,应该是您的 IP 地址。

第 5 行:LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP

原始数据包的有效载荷部分的长度;服务类型、存在性、生存时间(数据包因跳数过多而死亡之前还剩下多少跳);标识;协议(在本例中为 TCP)。

第 6 行:SPT=42772 DPT=3194 WINDOW=1024

源端口;检测端口;TCP 窗口大小

第 7 行:RES=0x00 SYN URGP=0

TCP 标志,这里最重要的是“SYN”,表示它正在尝试建立新连接。此日志条目表示该尝试已被阻止。

相关内容