这个 UFW 日志是什么意思?已经问过类似的问题,但我想明确知道 UFW 日志的每一行是什么意思
Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]
[UFW BLOCK] IN=eth0 OUT=
MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00
SRC=77.72.85.26 DST=157.230.26.180
LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP
SPT=42772 DPT=3194 WINDOW=1024
RES=0x00 SYN URGP=0
为了我的(并且希望是其他人的)可行性,我非常希望简要地描述每个单独的部分。
答案1
UFW 只是 iptables 的前端,因此这些日志条目实际上来自 iptables。
第 1 行:Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]
日期和时间、您的计算机名称以及自启动以来的内核时间。
第 2 行:[UFW BLOCK] IN=eth0 OUT=
每当 iptables 进行日志记录时,都会有一个可选的--log-prefix
,在本例中为[UFW BLOCK]
。UFW 最令人讨厌的地方在于它对每种类型的日志条目都使用相同的前缀,这使得很难与 iptables 规则集关联起来。 是IN
数据包到达的网络接口名称。 为OUT
空白,因为数据包未被重新传输,如果这是路由器应用程序,则可能存在这种情况。
第 3 行:MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00
这些是本地目标(a6:8d:e2:51:62:4c (eth0))和源(f0:4b:3a:4f:80:30)网络接口卡的机器地址代码。在您的情况下,源可能是您的 ISP 网关 NIC 的 MAC。每个 6 个字节。末尾的额外 2 个字节(08:00)是帧类型,在本例中,它表示“以太网帧携带 IPv4 数据报”。
第 4 行:SRC=77.72.85.26 DST=157.230.26.180
这些是数据包的来源 IP 地址、SRC,以及它应该去往何处、DST,应该是您的 IP 地址。
第 5 行:LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP
原始数据包的有效载荷部分的长度;服务类型、存在性、生存时间(数据包因跳数过多而死亡之前还剩下多少跳);标识;协议(在本例中为 TCP)。
第 6 行:SPT=42772 DPT=3194 WINDOW=1024
源端口;检测端口;TCP 窗口大小
第 7 行:RES=0x00 SYN URGP=0
TCP 标志,这里最重要的是“SYN”,表示它正在尝试建立新连接。此日志条目表示该尝试已被阻止。