为什么ufw记录关于ufw配置为“允许”连接的端口的“BLOCK”消息?
这是一个示例日志消息:
5月25日10:36:07 myserver内核:[7057243.392334] [UFW BLOCK] IN = eth0 OUT = MAC = 00:02:55:67:82:eb:00:06:b1:3a:ef:62:08: 00 SRC = 69.197.128.26 DST = 192.168.100.101 LEN = 44 TOS = 0x00 PREC = 0x00 TTL = 32 ID = 0 PROTO = TCP SPT = 48788 DPT = 80 WINDOW = 972 RES = 0x00 RST URGP = 0
我的理解是DPT代表“目标端口”,但由于我已经配置为允许端口80上的传入连接,我很困惑为什么我会看到这样的日志消息 – 似乎是一条日志消息指示ufw阻止该端口上的连接尝试。
以下是ufw status的相关行:
来自行动 - ------ ---- 80 / tcp ALLOW Anywhere 80 / tcp ALLOW Anywhere(v6)
我现在已经在Ubuntu 11.10和现在(在升级同一台机器之后)在Ubuntu 12.04上看到了这个。
Caffeine Coma引用的线程表明这与关闭TCP网络连接的低级技术有关…操作系统(Windows,Mac,Linux)处理连接终止的方式之间的模糊和细微差别显然导致服务器之间的一些无害混淆和客户端,这以某种方式导致上述日志消息。
我不完全理解技术性,也不知道为什么会导致UFW“BLOCK”日志消息,但我会接受它,因为这是我遇到的唯一有意义的答案,我看到没有我的服务器上出现错误的其他症状 – 只有这些无害(尽管很烦人)的UFW日志消息。
有关更多技术说明,请参阅上述论坛post 。
我可以解释一下细节,而不需要技术。
我只会用一个比喻。
只想让两个人互相交谈,让我们假设他们彼此做生意,并且他们同意以某种方式开展业务。
每次他们进行交易时,都会以同样的方式完成。
-
见面和问候 – 他们同意交易只有在他们坐在同一个房间并在开始时握手时才会成功。 这是一个必须的步骤。
-
倾听和重新“发送” – 他们同意交易只是成功,如果理解了此交易所需的所有数据,并且如果一方没有得到适当的回应,他们会重新评估状态并“撤销”某些方面的问题。此交易,直到双方对结果满意并同意交易有序。
这包括
- a)在每次聚会开始时以握手forms确认,以及b)双方最后确认。 此外,卖方必须留在房间一段时间,直到他确定买方已经离开了。
TCP连接以类似的方式工作。 是不是有错误然后防火墙会告诉你这件事。
可能是一个假买家,只是打个招呼,然后再离开(探测)可能是一个真正的买家,这在事物的中间不再那么肯定,离开房间(用户)可能是一个通信问题(路由,网络等)
HTH,s1mmel
我对此也很好奇,因为我甚至从Googlebot服务器获得类似的日志条目。
这个主题似乎说没什么可担心的,但是在UFW中将这些注册为BLOCK似乎很奇怪。