已启用日志记录。仅记录允许规则。我的防火墙规则的最后一行是:
Anywhere DENY Anywhere
虽然没有要求记录,但是两个 IP 反复出现在我的防火墙日志中并被阻止:
Dec 28 16:54:13 openvpn kernel: [1059666.384183] [UFW BLOCK] IN=eth0 OUT= MAC=00:16:3e:3d:09:b4:2c:21:72:a0:20:81:08:00 SRC=216.4.95.62 DST=XXX.XX.XXX.XXX LEN=40 TOS=0x00 PREC=0x00 TTL=247 ID=57899 DF PROTO=TCP SPT=47785 DPT=5555 WINDOW=0 RES=0x00 ACK RST URGP=0
Dec 28 16:54:13 openvpn kernel: [1059666.665564] [UFW BLOCK] IN=eth0 OUT= MAC=00:16:3e:3d:09:b4:2c:21:72:a0:20:81:08:00 SRC=4.71.37.46 DST=XXX.XX.XXX.XXX LEN=40 TOS=0x08 PREC=0x40 TTL=244 ID=21110 DF PROTO=TCP SPT=33071 DPT=5555 WINDOW=0 RES=0x00 ACK RST URGP=0
连接按要求被阻止,但为什么要记录它们?当事情出乎意料时,我会感到困扰。所有其他块(有 1000 个)均未按要求记录。这两个地址都来自 Level 3 的地址范围。DPT 5555 通常是 HP Data Protector 端口(未安装在我的服务器上)。服务器托管在 Host Virtual 上。uname 的输出:
Linux XXX.XXX.XXX 5.4.0-91-generic #102-Ubuntu SMP Fri Nov 5 16:31:28 UTC 2021 x86_64 x86_64 x86_64 GNU/Linux
应用所有当前更新
在此处添加请求的 ufw:root@openvpn:~# ufw status verbose
状态:活动 日志记录:开启(低) 默认:拒绝(传入)、允许(传出)、允许(路由) 新配置文件:跳过
行动来自
20/udp 允许任何地方(日志)
22 允许 XXX.XX.XX.0/22 (日志)
443/udp 允许 XX.XXX.XXX.0/20 (日志)
22 允许 YYY.YYY.YYY.0/22 (日志)
443/udp 允许 YYY.YYY.YYY.0/22 (日志)
80/udp 允许 WWW.WW.WW.0/22 (日志)
80/udp 允许 WWW.WW.WW.0/22 (日志)
22 允许 WWW.WW.WW.0/22 (日志)
22 允许 XX.XXX.XXX.0/20 (日志)
任何地方 拒绝进入 任何地方