UFW의 감사 로그 항목은 무엇을 의미합니까?

11

때때로 이러한 AUDIT 로그 항목을 많이 얻습니다.

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

이것의 의미는 무엇입니까? 언제 그리고 왜 발생합니까? 이러한 특정 항목을 비활성화해야합니까? UFW 로깅을 비활성화하고 싶지 않지만 이러한 줄이 유용한 지 확실하지 않습니다.

에서 실제로 발생하지는 않습니다 /var/log/ufw.log. 에서만 발생합니다 /var/log/syslog. 왜 이런 경우입니까?

더 많은 정보

내 로깅이 중간으로 설정되었습니다. Logging: on (medium)

firewall logging ufw

— 톰
소스

3

메시지 low를 제거하도록 로깅을 설정하십시오 AUDIT.

AUDIT (내가보고있는 것)의 목적은 기본이 아닌 / 권장되지 않은 로깅과 관련이 있습니다.

— jrg
소스

로그 수준은 옵션 메뉴에 있습니다.

— MUY Belgium

어떤 도구의 @MUYBelgium 옵션 메뉴?

— jrg

9

그것은 선에 달려 있습니다. 일반적으로 Field = value입니다.

릴레이 된 패킷에 대해 IN, OUT, 수신 인터페이스 또는 발신 (또는 둘 다)이 있습니다.

그들 중 몇 가지는 :

서비스 유형에 대한 TOS
DST 는 대상 IP입니다.
SRC 는 소스 IP입니다
TTL 은 작동 시간이며, 패킷이 다른 라우터를 통과 할 때마다 작은 카운터가 감소합니다 (따라서 루프가있는 경우 패키지는 한 번 0으로 파괴됨)
DF 는 패킷을 보낼 때 조각화되지 않도록 요청하는 "조각화하지 않음"비트입니다.
PROTO 는 프로토콜 (주로 TCP 및 UDP)입니다
SPT 는 소스 포트입니다
DPT 는 대상 포트입니다

기타

TCP / UDP / IP 문서를 살펴보면 모든 것이 내가 할 수있는 더 자세한 방법으로 설명됩니다.

첫 번째를 보자. 즉, 176.58.105.134는 194.238.48.2를 위해 포트 123에서 UDP 패킷을 보냈다는 것을 의미합니다. 입니다 ntp. 그래서 누군가 누군가 귀하의 컴퓨터를 오류로 인해 ntp 서버로 사용하려고한다고 생각합니다.

다른 라인의 경우, 그것은 호기심입니다. 루프백 인터페이스 (lo)의 트래픽입니다. 즉, 아무데도 가지 않고 컴퓨터에서 나옵니다.

lsof또는로 TCP 포트 30002에서 수신 대기중인 것이 있는지 확인합니다 netstat.

— 기타
소스

감사합니다. 포트 30002는 실행중인 mongodb 중재자입니다. 에 대해 난 아무것도 몰라요 ntp, 내가 걱정해야하지만?

— Tom

NTP는 시간을 설정하는 것입니다. 이미 알지 못하고 이미 사용했을 것입니다 (그놈에서 "네트워크를 사용하여 시간 동기화"를 선택하면 ntp 사용). 네트워크에서 시간을 동기화합니다. 아마도 ip는 ntp 네트워크 ( pool.ntp.org/fr ) 의 글로벌 풀의 일부 였을 것입니다.

— Misc

2

언급 된 내용 외에도 iptables 규칙 을 검사하여 기록 할 내용을 유추 할 수도 있습니다 . 구체적으로 기록되는 일치 규칙은 다음과 같이 필터링 될 수 있습니다 sudo iptables -L | grep -i "log".

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

이것들은 대부분 기본 규칙입니다. 위의 출력을 검사하면 ufw-before-*[UFW AUDIT ..] 로그를 생성 하는 체인이 표시됩니다.

나는 iptables에 큰 전문가가 아니며 UFW 매뉴얼은 이것에별로 도움이되지 않지만이 체인과 일치하는 규칙이 /etc/ufw/before.rules에 있다고 말할 수있는 한 .

예를 들어 아래 행은 로그에서 마지막 두 개의 예제 행 ([UFW AUDIT] IN = lo로 시작하는 행)을 트리거했을 수있는 루프백 연결을 허용합니다.

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

내 부분 은 포트 5353에 많은 로그 LLMNR 패킷이 있습니다.

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

내가 생각하는 것은 다음과 rules.before같습니다.

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

이를 비활성화하는 한 가지 방법은 다음을 실행하는 것입니다.

sudo ufw deny 5353

— 세바스찬 ül 러
소스