我有一个运行 ufw 的 NAT 盒(Ubu 10.04),其功能如下sudo ufw status verbose
:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
22480/tcp LIMIT IN Anywhere
当我nmap -PN -p 22 192.168.0.0/24
找到在我的 NATed(工作正常)内部网络上运行的所有 SSH 时,我得到以下信息:
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-16 23:06 EDT
0 ports scanned on 192.168.0.0
Interesting ports on 192.168.0.1:
PORT STATE SERVICE
22/tcp closed ssh
Interesting ports on 192.168.0.2:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.3:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.4:
PORT STATE SERVICE
22/tcp filtered ssh
... Continuing for all 254 IPs ...
请注意,其他 IP(2、3、4、...)上没有机器。
为什么这个 UFW 规则会导致这种情况?为什么 UFW 输入规则会影响从路由器到内部网络的 nmap 功能?这不是输入,并且 ufw 设置为默认配置(除上述配置外),即阻止输入端口而不阻止输出到端口。
另外,我怎样才能让它停止记录收到的所有不重要的垃圾信息?我确实希望它记录发往我的 IP 的信息,但不记录来自外部(可路由)网络上的 Windows 机器的广播流量。记录这些内容确实使日志变得非常庞大。
答案1
我对 ufw 一无所知。但 nmap 总是返回已过滤如果你测试一台不存在的机器发现它首先。
如果机器没有应答,nmap 无法真正知道这是因为机器不存在还是因为它忽略了包。由于您禁用了 ping (-PN),因此 Nmap 不会尝试发现主机,因此它假定主机存在并过滤数据包。
答案2
对于 ufw 日志,ufw 有几种不同的日志级别。你可以像这样调整它们:$ sudo ufw logs low
如果您想要记录部分日志,但不是全部,您可以设置日志级别,然后在链的开头插入拒绝规则。例如:
$ sudo ufw 插入 1 拒绝 192.168.1.255