UFW的审核日志条目是什么意思？

11

有时我会收到很多这些AUDIT日志条目

...

[UFW AUDIT] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW ALLOW] IN= OUT=eth0 SRC=176.58.105.134 DST=194.238.48.2 LEN=76 TOS=0x10 PREC=0x00 TTL=64 ID=32137 DF PROTO=UDP SPT=36231 DPT=123 LEN=56
[UFW AUDIT] IN= OUT=lo SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=54579 DF PROTO=TCP SPT=59488 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0
[UFW AUDIT] IN=lo OUT= MAC=00:00:00:00:00:00:00:00:00:00:00:00:08:00 SRC=192.168.192.254 DST=192.168.192.254 LEN=60 TOS=0x00 PREC=0x00 TTL=64 ID=4319 DF PROTO=TCP SPT=59489 DPT=30002 WINDOW=32792 RES=0x00 SYN URGP=0

...

这是什么意思？它们何时发生？为什么？我应该并且可以禁用这些特定条目吗？我不想禁用UFW日志记录，但是我不确定这些行是否有用。

请注意，这实际上并未在中发生/var/log/ufw.log。它仅在中出现/var/log/syslog。为什么会这样呢？

更多信息

我的日志记录设置为中： Logging: on (medium)

firewall logging ufw

— 汤姆
source

3

将您的日志记录设置low为删除AUDIT消息。

AUDIT的目的（据我所见）与非默认/推荐的日志记录有关-但是，这只是个猜测，我似乎找不到任何具体的东西。

— r
source

日志级别在选项菜单中。

— MUY比利时

@MUYBelgium选项菜单有哪些工具？

— jrg

9

那要看线路。通常，它是Field = value。

对于刚刚中继的数据包，有IN，OUT，传入接口或传出接口（或两者都有）。

其中一些是：

TOS，用于服务类型，
DST是目标ip，
SRC是源IP
TTL是生存时间，每当一个数据包通过另一个路由器时，小计数器就会递减（因此，如果存在环路，则程序包一次将自身销毁为0）
DF为“不分段”位，发送时要求数据包不分段
PROTO是协议（主要是TCP和UDP）
SPT是源端口
DPT是目标端口

等等

您应该看一下TCP / UDP / IP文档，其中所有内容都以我能做的更详细的方式进行了解释。

让我们以第一个为例，这意味着176.58.105.134在端口123上为194.238.48.2发送了UDP数据包。那是为了ntp。因此，我想有人尝试将您的计算机用作ntp服务器，可能是错误的。

对于另一行，这很好奇，它是回送接口（lo）上的流量，即，它不会流向任何地方，并且来自您的计算机。

我会检查是否有正在使用lsof或在TCP端口30002上侦听的内容netstat。

— 杂项
source

谢谢。端口30002是运行的mongodb仲裁程序。我什么都不知道ntp，我应该担心吗？

— 汤姆（Tom）

否。NTP只是用于设置时间，您可能不知道就已经使用过（当您在gnome中选中“使用网络同步时间”时，它使用ntp）。它只是在网络上同步时间。也许ip是ntp网络全局池（pool.ntp.org/fr）的一部分，因此有人在Internet上提出了请求？

— 其他

2

除了上面所说的以外，还可以通过检查iptables规则来推断将要记录的内容。具体来说，可以像这样过滤正在记录的匹配规则sudo iptables -L | grep -i "log"：

ufw-before-logging-input  all  --  anywhere             anywhere
ufw-after-logging-input  all  --  anywhere             anywhere
ufw-before-logging-forward  all  --  anywhere             anywhere
ufw-after-logging-forward  all  --  anywhere             anywhere
ufw-before-logging-output  all  --  anywhere             anywhere
ufw-after-logging-output  all  --  anywhere             anywhere
Chain ufw-after-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny  all  --  anywhere             anywhere             ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG        all  --  anywhere             anywhere             ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG        all  --  anywhere             anywhere             ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny  all  --  anywhere             anywhere             limit: avg 3/min burst 10
LOG        all  --  anywhere             anywhere             limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)

这些大部分是默认规则。检查上面的输出会显示ufw-before-*生成[UFW AUDIT ..]日志的链。

我不是iptables的专家，UFW手册对此没有很大帮助，但据我所知，与此链匹配的规则位于/etc/ufw/before.rules中。

例如，以下各行允许进行环回连接，这可能会触发日志中的最后两行示例（以[UFW AUDIT] IN = lo开头的行）

# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....

就我而言，我在端口5353上收到了许多已记录的LLMNR数据包：

Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126

我认为是由以下原因引起的rules.before：

# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT

停用这些功能的一种方法是执行以下操作：

sudo ufw deny 5353

— 塞巴斯蒂安·穆勒（SebastianMüller）
source