以下是一个示例日志消息:
5 月 25 日 10:36:07 myserver 内核:[7057243.392334] [UFW BLOCK] IN=eth0 OUT= MAC=00:02:55:67:82:eb:00:06:b1:3a:ef:62:08:00 SRC=69.197.128.26 DST=192.168.100.101 LEN=44 TOS=0x00 PREC=0x00 TTL=32 ID=0 PROTO=TCP SPT=48788 DPT=80 WINDOW=972 RES=0x00 RST URGP=0
我的理解是DPT代表“目标端口”,但由于我已将 ufw 配置为允许端口 80 上的传入连接,我很困惑为什么我会看到这样的日志消息——该日志消息似乎表明 ufw 阻止了该端口上的连接尝试。
以下是来自的相关内容ufw status:
行动来自 -- ------ ---- 80/tcp 允许任何地方 80/tcp 允许任何地方 (v6)
我现在在 Ubuntu 11.10 上都看到了这个问题,现在(升级同一台机器后)在 Ubuntu 12.04 上也看到了这个问题。
答案1
Caffeine Coma 引用的帖子表明这与关闭 TCP 网络连接的低级技术细节有关...操作系统(Windows、Mac、Linux)处理连接终止的方式之间存在着模糊而细微的差异,显然导致了服务器和客户端之间一些无害的混淆,并且这在某种程度上导致了上述日志消息。
我不完全了解技术细节,也不明白为什么这会导致 UFW“BLOCK”日志消息,但我会接受它,因为这是我遇到的唯一有意义的答案,并且我没有看到我的服务器上出现问题的其他症状 - 只有这些无害的(尽管很烦人)UFW 日志消息。
參閱提到的论坛主题以获得更技术性的解释。
答案2
我可以详细解释一下,但不需要涉及技术细节。
我只是用一个比喻而已。
想象一下两个人互相交谈,假设他们彼此做生意,而且他们同意以某种方式开展业务。
每次他们进行交易时,都是以同样的方式进行。
见面和问候 - 他们同意,只有当他们坐在同一个房间并在开始时握手时,交易才算成功。这是强制性的步骤。
倾听并重新“发送”——双方同意,只有理解了交易所需的所有数据,并且一方没有得到适当的回应,交易才算成功,他们会重新评估状态并“重新讨论”交易的某些方面,直到双方都对结果满意并同意交易有序进行。
这包括
- a) 每次见面开始时以握手的形式确认;b) 双方在结束时进行最终确认。此外,卖家必须在房间内停留一段时间,直到他确定买家满意为止。
TCP 连接的工作方式类似。如果出现问题,防火墙就会通知您。
可能是假买家,打个招呼就走(探测) 可能是真正的买家,但在中途不再那么确定并离开了房间(用户) 可能是通信问题(路由、网络等)
HTH,s1mmel
答案3
我对此也很好奇,因为我甚至从 Googlebot 服务器也得到了类似的日志条目。
此主题似乎说这没什么可担心的,但对于我来说,将它们在 UFW 中注册为 BLOCK 似乎很奇怪。