我今天检查了我们的防火墙日志,发现了数千条这样的消息:
Jul 3 15:59:36 sg580 Pluto[295]: packet from 218.185.86.50:500: initial Main Mode message received on xxx.xxx.xxx.xxx:500 but no connection has been authorized
Jul 3 15:59:44 sg580 Pluto[295]: packet from 218.185.86.50:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-02_n]
Jul 3 15:59:44 sg580 Pluto[295]: packet from 218.185.86.50:500: received Vendor ID payload [draft-ietf-ipsec-nat-t-ike-03]
Jul 3 15:59:44 sg580 Pluto[295]: packet from 218.185.86.50:500: ignoring Vendor ID payload [4048b7d56ebce885...]
有人能帮我解读一下吗?
我已经添加了策略路由来丢弃往返于 218.185.86.50 的数据包 - 但我仍然收到这些绽放的日志消息。
对我这个可怜的脑袋来说太过分了。
答案1
218.185.86.50 处的主机正在尝试与您建立 IPSEC VPN。端口 500 是 ISAKMP 密钥交换端口。
JR
答案2
除了JR的正确答案之外。
Pluto[295]分别表示记录消息的守护进程的名称和 PID。Pluto 是 [Open|Free]Swan VPN 项目的 IKE(IPsec 密钥交换)部分。
如果您不希望 VPN 在该机器上终止,或者您只希望来自特定主机的 VPN 会话,那么您应该考虑将其锁定。