在我的 Ubuntu 16.04 机器上,我已将 UFW 配置如下:
$ sudo apt-get install ufw
$ sudo ufw limit 22/tcp
$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp
$ sudo ufw enable
现在如果我运行sudo ufw status verbose,输出如下:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp LIMIT IN Anywhere
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
22/tcp (v6) LIMIT IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
443/tcp (v6) ALLOW IN Anywhere (v6)
在我看来,这看起来不错:它允许 SSH(受限制)以及 HTTP 和 HTTPS。这正是我们想要的。
但几天后,查看后/var/log/ufw.log会发现不少类似以下示例的条目:
Jan 1 00:00:00 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=1234 DF PROTO=TCP SPT=17708 DPT=443 WINDOW=0 RES=0x00 RST URGP=0
Jan 2 23:59:59 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=23456 DF PROTO=TCP SPT=29199 DPT=443 WINDOW=1061 RES=0x00 ACK FIN URGP=0
按照DPT=443,UFW 是否阻止了某些 HTTPS 请求?这是为什么?如上所示,UFW 配置中明确允许 HTTPS(即通过 TCP 的端口 443),不是吗?UFW 阻止这些请求还可能出于哪些其他原因?
(UFW 显然不会阻止全部HTTPS 请求,因为当我尝试时,我可以在浏览器中通过 HTTPS 打开我的网站。)
答案1
您的两个示例日志条目实际上是 TCP 会话终止类型数据包。对于 TCP 连接,Linux 倾向于使用“半双工”关闭序列,其中会话的任一侧都可以通过单个双向 FIN-ACK 握手(将连接置于 CLOSE_WAIT 状态)启动连接终止,而不是完整的 4 向 FIN-ACK 握手。经常发生的情况是,尤其是在中间有路由器的情况下,一方认为会话已关闭,而另一方却没有。您的计算机已终止并忘记了会话,因此将数据包视为无效的新会话打开数据包并阻止它们。没有造成任何损害,实际会话运行正常。
这里的重要信息是 TCP 标志、“RST”(重置)和“ACK FIN”(针对您的两个示例)。