Frage UFW BLOCK Einträge im Protokoll


Ich habe viele dieser Einträge in meinem Protokoll:

Sep 22 12:20:23 server0187 kernel: [    7.267934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:23 server0187 kernel: [    7.688848] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:24 server0187 kernel: [    7.992988] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:32 server0187 kernel: [   16.219594] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=52457 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:39 server0187 kernel: [   23.217712] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:40 server0187 kernel: [   24.130220] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:44 server0187 kernel: [   28.063447] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33267 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:45 server0187 kernel: [   29.063934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33268 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:47 server0187 kernel: [   31.063621] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33269 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.272558] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.667044] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:08 server0187 kernel: [   52.296316] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=22917 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:39 server0187 kernel: [   83.646607] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=151.233.57.112 DST=se.rv.er.ip LEN=44 TOS=0x00 PREC=0x00 TTL=37 ID=56703 PROTO=TCP SPT=25625 DPT=23 WINDOW=30217 RES=0x00 SYN URGP=0 

meine ufw Regeln sind ziemlich Standard:

22/tcp (OpenSSH)           ALLOW IN    Anywhere                  
80,443/tcp (Nginx Full)    ALLOW IN    Anywhere                  
80,443/tcp                 ALLOW IN    Anywhere                  
25                         ALLOW IN    Anywhere                  
143                        ALLOW IN    Anywhere                  
993                        ALLOW IN    Anywhere                  
22                       ALLOW IN    Anywhere                  
21                       ALLOW IN    Anywhere                  
21/tcp                   ALLOW IN    Anywhere                  
22/tcp (OpenSSH (v6))      ALLOW IN    Anywhere (v6)             
80,443/tcp (Nginx Full (v6)) ALLOW IN    Anywhere (v6)             
80,443/tcp (v6)            ALLOW IN    Anywhere (v6)             
25 (v6)                    ALLOW IN    Anywhere (v6)             
143 (v6)                   ALLOW IN    Anywhere (v6)             
993 (v6)                   ALLOW IN    Anywhere (v6)             
22 (v6)                  ALLOW IN    Anywhere (v6)             
21 (v6)                  ALLOW IN    Anywhere (v6)             
21/tcp (v6)              ALLOW IN    Anywhere (v6) 

Wie werde ich diese los?


1
2017-09-22 12:26


Ursprung


Gibt es einen besonderen Grund, warum Sie nicht möchten, dass der Verkehr blockiert wird? - Thomas Ward♦
@ThomasWard Ich bin mir einfach nicht sicher, worum es geht und sollte ich besorgt sein, weil sie ein paar Mal im Log erscheinen. - Nimbuz
@ThomasWard Es gibt viele dieser Einträge in allen Protokollen, weshalb ich mir Sorgen mache. - Nimbuz


Antworten:


Bevor Sie diese Antwort lesen, sollten Sie Folgendes beachten:

  1. Es gibt 65.534 verwendbare Ports (1 - 65534) beim Verbinden mit einem System und eine Reihe von verschiedenen Protokollen; Dies bedeutet, dass es eine große Anzahl potentieller "blockierter" Verbindungen gibt, basierend auf dem Kriterium, das in Ihren Firewall-Regeln für "erlaubten Verkehr" eingerichtet ist.

  2. Alles, was mit dem Internet zu tun hat, wird Verbindungsversuche von verschiedenen Dingen in die Box bekommen, wie zum Beispiel:

    • Zulässiger zulässiger Verkehr
    • Service-Scanner
    • Brutale Forcers
    • Malware / Hacker
    • usw. (so ziemlich alles, was ich möchte Versuchen und verbinden, ob erlaubt oder nicht).
  3. Alles, was sich öffentlich dem Internet zuwendet, wird versuchen, Dienste zu finden, die auf dem System laufen, oder versuchen, die Box nach zu scannen   potenzielle Sicherheitslücken Daher die BLOCK Warnungen im Syslog.

  4. "BLOCK" -Warnmeldungen der Firewall bedeuten, dass Ihre Firewall wie beabsichtigt funktioniert, und Sie sollten nicht wirklich besorgt sein, viel zu sehen   diese Warnungen, insbesondere wenn Ihr System direkt mit dem Internet verbunden ist   (und nicht hinter einem Router usw.).


Nun, um Ihre Bedenken in Ihren Kommentaren zu "Es gibt eine Menge dieser Einträge" und "deshalb bin ich besorgt".

Wenn Sie eine Whitelisting-Firewall mit UFW ausführen, wird eine Standardregel als Ergebnis der Standard-UFW-Konfigurationen hinzugefügt, die automatisch ein LOG Regel für jeglichen Datenverkehr, der von den Firewall-Regeln nicht akzeptiert oder anderweitig behandelt wird. Nehmen wir zum Beispiel an, dass ich einen Server habe, und ich setze ihn so, dass nur SSH von der IP-Adresse 1.2.3.4 erlaubt wird. Jeglicher anderer Verkehr zu meinem Server, der nicht mit Verkehr von dem Server verbunden ist, der ausgeht oder SSH-Verkehr von 1.2.3.4 zu meinem Server (und umgekehrt in der entgegengesetzten Richtung), wird blockiert, und a UFW BLOCK Die Warnung wird an die Systemprotokolle ausgegeben, um anzuzeigen, dass der Verkehr, der nicht mit einer meiner zulässigen Regeln übereinstimmt, blockiert wurde. (Das heißt, nur Datenverkehr von 1.2.3.4 zu Port 22 (SSH) oder damit verbundener bidirektionaler Datenverkehr zu dieser Verbindung wird a auslösen BLOCK aufmerksam)

Sollten Sie darüber besorgt sein? Absolut nicht.  Web-orientierte Dienste, Server, Netzwerke usw. erhalten einen Tonne der Verkehr zu ihnen, von Service-Scanner, legitime Verbindungen, bösartige Bedrohung Akteure, etc. Es ist nicht ungewöhnlich Viele Versuche, von einem großen Bereich von IP-Adressen eine Verbindung zu einem Netzwerk von außen herzustellen, wenn Ihr System / Server mit dem Internet verbunden ist, da diese Art von Datenverkehr normalerweise blockiert ist.


Nun zu Ihrer ursprünglichen Frage, wie Sie das deaktivieren UFW BLOCK Warnungen. Ich empfehle zwar nicht, die Warnmeldungen zu deaktivieren (da dies auf eine Firewall hinweist) Arbeiten wie vorgesehen) können Sie die UFW-Alert-Log-Einträge folgendermaßen deaktivieren:

sudo ufw logging off

Beachten Sie, dass ich Ja wirklich Ich empfehle Ihnen nicht, die Protokollierung von blockiertem Datenverkehr zu deaktivieren, es sei denn, Sie müssen dies wirklich tun (z. B. syslog nimmt zu viel Speicherplatz in Anspruch, was selbst in diesen Fällen nicht üblich ist), aber es liegt an Ihnen, ob Sie dies tun oder nicht.


4
2017-09-22 16:23





Es gibt keine explizite Regel, um tcp / 23 (Telnet) in bestehenden Regeln in diesem Beitrag zu verweigern, die implizite Regel ist das Verweigern / Protokollieren (Standard). Um die Protokollierung zu stoppen und weiterhin zu verweigern, erstellen Sie in ens3 eine explizite Deny-Regel.

ufw leugne in ens3 einen Port 23

oder einfach Firewall Telnet, um Telnet auf allen Schnittstellen im Host zu sperren:

ufw leugnen in 23


1
2017-12-06 16:16