UFW 中针对 IP 的规则SR.CSR.CS.RC是:
ufw allow from SR.CSR.CS.RC
如规则所述,SR.CSR.CS.RC可以通过任何启用的端口访问此服务器。
但是,当UFW启动并运行时,UFW日志文件中会出现一些有关来自SR.CSR.CS.RCIP 的请求已被阻止的行。
[UFW BLOCK] IN=ens3 OUT= MAC=11:00:11:00:11:ff:00:11:11:bb:ee:00:00:00 SRC=SR.CSR.CS.RC DST=D.ST.DST.DST LEN=52 TOS=0x00 PREC=0x00 TTL=63 ID=xyxyxy DF PROTO=TCP SPT=SPTSP DPT=SPTDP WINDOW=501 RES=0x00 ACK FIN URGP=0
SR.CSR.CS.RC为什么当IP 具有完全访问权限时我会看到这些日志?是否可以将UFW来自 IP 的请求SR.CSR.CS.RC视为 DOS 攻击?
笔记: SR.CSR.CS.RC是伪装的 IP
此条目是否与此相关:UFW 在开放端口上记录被阻止的请求,我遗漏了什么?
答案1
我在网上搜索了非常相似的问题,以下是我找到的。ufw 有几个规则文件:
规则之前- 在 ufw 命令行添加规则之前应运行的规则
用户规则- 这些是我们用 ufw 命令添加的规则
规则之后- 在 ufw 命令行添加规则后应运行的规则(IPv6 也是如此)
在 before.rules 中你可以找到这些内容:
# 丢弃无效的数据包(以中等或更高日志级别记录这些数据包) -A ufw-before-input -m conntrack --ctstate INVALID -j ufw-logging-deny -A ufw-before-input -m conntrack --ctstate INVALID -j DROP
# 所有其他非本地数据包均被丢弃 -A ufw-not-local -m limit --limit 3/min --limit-burst 10 -j ufw-logging-deny -A ufw-not-local -j DROP
因此,我认为那些 [UFW BLOCK] 日志条目是由其中之一引起的 - 毕竟它们是日志记录的唯一规则。