我的防火墙日志中有很多与 HTTPS 流量相关的记录。由于某种原因,传入连接正在建立到临时端口,并且它们被我的防火墙阻止,因为这些端口已关闭。
dec 08 11:49:12 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=443 DPT=34004 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:12 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=443 DPT=34004 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:12 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x08 PREC=0x20 TTL=51 ID=0 DF PROTO=TCP SPT=443 DPT=34004 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=25611 DF PROTO=TCP SPT=443 DPT=43402 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=25612 DF PROTO=TCP SPT=443 DPT=43402 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=53730 DF PROTO=TCP SPT=443 DPT=52450 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=53731 DF PROTO=TCP SPT=443 DPT=52450 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=57942 DF PROTO=TCP SPT=443 DPT=46798 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=25613 DF PROTO=TCP SPT=443 DPT=43402 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:24 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=57944 DF PROTO=TCP SPT=443 DPT=46798 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:49:39 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=232 ID=56694 DF PROTO=TCP SPT=443 DPT=52468 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:50:14 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=57810 DF PROTO=TCP SPT=443 DPT=52484 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:50:14 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=57811 DF PROTO=TCP SPT=443 DPT=52484 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:50:35 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=235 ID=42912 DF PROTO=TCP SPT=443 DPT=54426 WINDOW=0 RES=0x00 RST URGP=0
dec 08 11:50:54 hostname kernel: [UFW BLOCK] IN=enp31s0 OUT= MAC=- SRC=- DST=192.168.1.129 LEN=40 TOS=0x00 PREC=0x00 TTL=233 ID=40448 DF PROTO=TCP SPT=443 DPT=38152 WINDOW=0 RES=0x00 RST URGP=0
请注意,流量来自非 RFC1918 IP,它们已被排除在此处的日志之外。
这些传入连接的原因可能是什么?
答案1
... SPT=443 DPT=54426 ...恢复时间URGP=0
这些不是传入连接。这些是 RST 数据包。例如,当服务器已经关闭连接时,客户端将数据写入服务器,就会发生这种情况。目前尚不清楚在您的具体情况下到底会发生什么,以及允许已建立连接的数据包的正确 iptables 规则是否会让这些数据包通过。