尽管在 Ubuntu 16.04 上配置为允许该端口,UFW 偶尔会阻止 HTTPS(443/TCP)

尽管在 Ubuntu 16.04 上配置为允许该端口,UFW 偶尔会阻止 HTTPS(443/TCP)

在我的 Ubuntu 16.04 机器上,我已将 UFW 配置如下:

$ sudo apt-get install ufw

$ sudo ufw limit 22/tcp
$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp

$ sudo ufw enable

现在如果我运行sudo ufw status verbose,输出如下:

Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     LIMIT IN    Anywhere                  
80/tcp                     ALLOW IN    Anywhere                  
443/tcp                    ALLOW IN    Anywhere                  
22/tcp (v6)                LIMIT IN    Anywhere (v6)             
80/tcp (v6)                ALLOW IN    Anywhere (v6)             
443/tcp (v6)               ALLOW IN    Anywhere (v6)

在我看来,这看起来不错:它允许 SSH(受限制)以及 HTTP 和 HTTPS。这正是我们想要的。

但几天后,查看后/var/log/ufw.log会发现不少类似以下示例的条目:

Jan 1 00:00:00 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=1234 DF PROTO=TCP SPT=17708 DPT=443 WINDOW=0 RES=0x00 RST URGP=0

Jan 2 23:59:59 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=23456 DF PROTO=TCP SPT=29199 DPT=443 WINDOW=1061 RES=0x00 ACK FIN URGP=0

按照DPT=443,UFW 是否阻止了某些 HTTPS 请求?这是为什么?如上所示,UFW 配置中明确允许 HTTPS(即通过 TCP 的端口 443),不是吗?UFW 阻止这些请求还可能出于哪些其他原因?

(UFW 显然不会阻止全部HTTPS 请求,因为当我尝试时,我可以在浏览器中通过 HTTPS 打开我的网站。)

答案1

您的两个示例日志条目实际上是 TCP 会话终止类型数据包。对于 TCP 连接,Linux 倾向于使用“半双工”关闭序列,其中会话的任一侧都可以通过单个双向 FIN-ACK 握手(将连接置于 CLOSE_WAIT 状态)启动连接终止,而不是完整的 4 向 FIN-ACK 握手。经常发生的情况是,尤其是在中间有路由器的情况下,一方认为会话已关闭,而另一方却没有。您的计算机已终止并忘记了会话,因此将数据包视为无效的新会话打开数据包并阻止它们。没有造成任何损害,实际会话运行正常。

这里的重要信息是 TCP 标志、“RST”(重置)和“ACK FIN”(针对您的两个示例)。

相关内容