背景
我最近安装了 Ubuntu 22.04 LTS 桌面。安装过程中我保留了所有默认设置,另外还安装了 google-chrome 和 VLC。
- 该机器位于 pfSense 防火墙后面,该防火墙阻止来自 LAN 外部的所有传入流量
- 我在桌面上配置了 ufw 来阻止所有传入和传出的流量,以及一些特定的允许规则
问题
安装几个小时后,出现了一些我意想不到的 ufw 日志条目。我需要一些指导来确定这些是良性的还是有问题的。
#1.1:有大量出站 UDP 尝试发送到 443。这些尝试似乎发往 1e100.net 的 Google 服务器,并且似乎与 Google“安全浏览”有关。我在想我是否应该允许这些尝试?
Jul 23 23:12:55 ubuntu-desktop kernel: [ 2340.289964] [UFW BLOCK] IN= OUT=eno1 SRC=192.168.1.35 DST=142.250.176.202 LEN=1278 TOS=0x00 PREC=0x00 TTL=64 ID=22069 DF PROTO=UDP SPT=50783 DPT=443 LEN=1258
#1.2:但是,在 infi.net 上也有一个类似的尝试。在网上找不到任何关于他们的信息。Ubuntu 的哪些功能会尝试这样做?
Jul 23 23:32:23 ubuntu-desktop kernel: [ 3508.326964] [UFW BLOCK] IN= OUT=eno1 SRC=192.168.1.35 DST=65.206.58.82 LEN=1278 TOS=0x00 PREC=0x00 TTL=64 ID=42891 DF PROTO=UDP SPT=59228 DPT=443 LEN=1258
#1.3然后,有几个 IP 使用反向 DNS 不会返回任何内容。大多数都类似于 UDP 到 443,但有一个在 TCP 上指向 10001。为什么我有它们?
Jul 24 00:10:06 ubuntu-desktop kernel: [ 5771.374520] [UFW BLOCK] IN= OUT=eno1 SRC=192.168.1.35 DST=104.16.154.36 LEN=1278 TOS=0x00 PREC=0x00 TTL=64 ID=23112 DF PROTO=UDP SPT=47937 DPT=443 LEN=1258
Jul 24 00:10:27 ubuntu-desktop kernel: [ 5792.372527] [UFW BLOCK] IN= OUT=eno1 SRC=192.168.1.35 DST=45.35.192.162 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=1182 DF PROTO=TCP SPT=49052 DPT=10001 WINDOW=64240 RES=0x00 SYN URGP=0
#2我只是出于好奇才问这个问题。发送这样的多播请求是什么意思?
Jul 24 00:10:46 ubuntu-desktop kernel: [ 5811.310100] [UFW BLOCK] IN= OUT=eno1 SRC=192.168.1.35 DST=239.255.255.250 LEN=635 TOS=0x00 PREC=0x00 TTL=1 ID=62497 DF PROTO=UDP SPT=39913 DPT=3702 LEN=615
#3这些是最令人不安的。它们看起来像是试图访问我的机器(192.165.1.35)的外部 IP。有些来自 1e100.net(UDP),有些来自 deepintent.com(TCP),还有一些无法识别自己的 IP。我的路由器上的防火墙应该会阻止所有传入请求,那么这些请求怎么可能到达 Ubuntu?我的路由器防火墙被入侵了吗?
Jul 23 23:12:05 ubuntu-desktop kernel: [ 2290.328780] [UFW BLOCK] IN=eno1 OUT= MAC=74:46:a0:a8:88:8b:00:90:0b:8c:d9:4b:08:00 SRC=142.250.65.206 DST=192.168.1.35 LEN=66 TOS=0x00 PREC=0x80 TTL=61 ID=0 DF PROTO=UDP SPT=443 DPT=45631 LEN=46
Jul 24 00:11:19 ubuntu-desktop kernel: [ 5844.376046] [UFW BLOCK] IN=eno1 OUT= MAC=74:46:a0:a8:88:8b:00:90:0b:8c:d9:4b:08:00 SRC=169.197.150.7 DST=192.168.1.35 LEN=91 TOS=0x00 PREC=0x00 TTL=58 ID=48987 DF PROTO=TCP SPT=443 DPT=57286 WINDOW=11 RES=0x00 ACK PSH URGP=0
Jul 24 01:22:35 ubuntu-desktop kernel: [10120.424253] [UFW BLOCK] IN=eno1 OUT= MAC=74:46:a0:a8:88:8b:00:90:0b:8c:d9:4b:08:00 SRC=38.91.45.7 DST=192.168.1.35 LEN=91 TOS=0x00 PREC=0x00 TTL=58 ID=48558 DF PROTO=TCP SPT=443 DPT=34766 WINDOW=11 RES=0x00 ACK PSH URGP=0
答案1
我认为我有答案#3,这也是最紧迫的问题。我的路由器防火墙没有受到损害。
从安装 Ubuntu 到启用 UFW 只过了几分钟。在此期间,我的桌面肯定已经连接到了这些服务器(在端口 443 上)。当服务器响应时,我的网关防火墙 (普富思)允许流量重新进入(适当)。但 UFW 并未将其视为回应,并屏蔽了这些回应(也适当)。
答案2
Ubuntu 是多个应用程序的集合,拥有不同的所有者。您可以使用 lsof 等应用程序来确定哪些二进制文件正在访问互联网,或者如果您想成为一名侦探,可以使用 ARIN.net 跟踪资金(IP 空间的所有者),然后将这些公司的 IP 与应用程序关联起来。
例如:142.250.65.206 = GOOGLE && 169.197.150.7 = DeepIntent, Inc.