it-swarm.com.de

UFW-BLOCK-Einträge im Protokoll

Ich habe viele dieser Einträge in meinem Log:

Sep 22 12:20:23 server0187 kernel: [    7.267934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:23 server0187 kernel: [    7.688848] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:24 server0187 kernel: [    7.992988] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:32 server0187 kernel: [   16.219594] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=52457 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:39 server0187 kernel: [   23.217712] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:40 server0187 kernel: [   24.130220] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:44 server0187 kernel: [   28.063447] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33267 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:45 server0187 kernel: [   29.063934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33268 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:47 server0187 kernel: [   31.063621] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33269 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.272558] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.667044] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:08 server0187 kernel: [   52.296316] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=22917 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:39 server0187 kernel: [   83.646607] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=151.233.57.112 DST=se.rv.er.ip LEN=44 TOS=0x00 PREC=0x00 TTL=37 ID=56703 PROTO=TCP SPT=25625 DPT=23 WINDOW=30217 RES=0x00 SYN URGP=0 

meine ufw Regeln sind ziemlich Standard:

22/tcp (OpenSSH)           ALLOW IN    Anywhere                  
80,443/tcp (Nginx Full)    ALLOW IN    Anywhere                  
80,443/tcp                 ALLOW IN    Anywhere                  
25                         ALLOW IN    Anywhere                  
143                        ALLOW IN    Anywhere                  
993                        ALLOW IN    Anywhere                  
22                       ALLOW IN    Anywhere                  
21                       ALLOW IN    Anywhere                  
21/tcp                   ALLOW IN    Anywhere                  
22/tcp (OpenSSH (v6))      ALLOW IN    Anywhere (v6)             
80,443/tcp (Nginx Full (v6)) ALLOW IN    Anywhere (v6)             
80,443/tcp (v6)            ALLOW IN    Anywhere (v6)             
25 (v6)                    ALLOW IN    Anywhere (v6)             
143 (v6)                   ALLOW IN    Anywhere (v6)             
993 (v6)                   ALLOW IN    Anywhere (v6)             
22 (v6)                  ALLOW IN    Anywhere (v6)             
21 (v6)                  ALLOW IN    Anywhere (v6)             
21/tcp (v6)              ALLOW IN    Anywhere (v6) 

Wie werde ich diese los?

3
Nimbuz

Beachten Sie Folgendes, bevor Sie diese Antwort lesen:

  1. Es gibt 65.534 verwendbare Ports (1 - 65534) für die Verbindung mit einem System und eine Reihe verschiedener Protokolle. Dies bedeutet, dass es eine GROSSE Anzahl potenzieller "blockierter" Verbindungen gibt, je nachdem, welches Kriterium in Ihren Firewall-Regeln für "zulässigen Datenverkehr" festgelegt ist.

  2. Bei allen Internetanschlüssen werden Verbindungsversuche von verschiedenen Seiten an die Box gesendet, z. B .:

    • Berechtigter zulässiger Verkehr
    • Service-Scanner
    • Brute-Forcer
    • Malware/Hacker
    • usw. (so ziemlich alles, was try und verbinden will, ob erlaubt oder nicht).
  3. Bei jedem öffentlichen Zugriff auf das Internet wird versucht, Dienste zu finden, die auf dem System ausgeführt werden, oder es wird versucht, die Box nach potenziellen Sicherheitslücken zu durchsuchen. Daher werden die Warnungen BLOCK im Syslog angezeigt.

  4. Firewall "BLOCK" -Warnungen bedeuten, dass Ihre Firewall wie beabsichtigt funktioniert, und Sie sollten sich keine großen Sorgen darüber machen, wie viele dieser Warnungen angezeigt werden, insbesondere wenn Ihr System direkt mit dem Internet verbunden ist (und nicht hinter einem Router usw.).


Um Ihr Anliegen in Ihren Kommentaren zu "Es gibt viele dieser Einträge" und "Deshalb mache ich mir Sorgen" anzusprechen.

Wenn Sie eine Whitelist-Firewall mit UFW ausführen, wird aufgrund der Standard-UFW-Konfigurationen eine Standardregel hinzugefügt, die automatisch eine LOG -Regel für Datenverkehr hinzufügt, der von den Firewall-Regeln nicht akzeptiert oder anderweitig behandelt wird. Nehmen wir zum Beispiel an, ich habe einen Server und ich habe ihn so eingestellt, dass nur SSH von der IP-Adresse 1.2.3.4 zugelassen wird. Jeder andere Datenverkehr zu meinem Server, der nicht mit dem ausgehenden Datenverkehr des Servers oder dem SSH-Datenverkehr von 1.2.3.4 zu meinem Server (und umgekehrt) zusammenhängt, wird blockiert, und es wird eine Warnung UFW BLOCK ausgegeben Das System protokolliert, um anzuzeigen, dass der Datenverkehr, der nicht mit einer meiner zulässigen Regeln übereinstimmt, blockiert wurde. (Das heißt, nur Datenverkehr von 1.2.3.4 zu Port 22 (SSH) oder damit zusammenhängender bidirektionaler Datenverkehr zu dieser Verbindung löst eine BLOCK Warnung aus.)

Sollten Sie darüber besorgt sein? Absolut nicht. Web-konforme Dienste, Server, Netzwerke usw. erhalten einen ton Datenverkehr an Es ist nicht ungewöhnlich, viele Versuche zu sehen, über die eine Verbindung zu einem Netzwerk hergestellt werden kann die außerhalb von großen Bereichen von IP-Adressen, wenn Ihr System/Server mit dem Internet verbunden ist, weil diese Art von Verkehr in der Regel gesperrt ist.


Gehen Sie nun zu Ihrer ursprünglichen Frage über das Deaktivieren der UFW BLOCK -Alerts über. Ich empfehle zwar nicht, die Warnungen zu deaktivieren (da dies darauf hinweist, dass Ihre Firewall wie beabsichtigt funktioniert ​​), aber Sie können die UFW-Warnungsprotokollelemente mithilfe der folgenden Schritte deaktivieren Folgendes:

Sudo ufw logging off

Beachten Sie, dass ich wirklich nicht empfehle, die Protokollierung von blockiertem Datenverkehr zu deaktivieren, es sei denn, Sie müssen wirklich (z. B. Syslog nimmt zu viel Speicherplatz in Anspruch, das ist auch in diesen Fällen nicht wirklich üblich), aber es liegt an Ihnen, ob Sie es tun oder nicht.

7
Thomas Ward

Wenn die Protokolle Sie stören, weil sie Ihr Syslog verunreinigen, bearbeiten Sie bitte /etc/rsyslog.d/20-ufw.conf, die letzte Zeile (in 18.04) lautet

# & stop

entfernen Sie den # und starten Sie die Protokollierung erneut:

Sudo service rsyslog restart

Jetzt sollten Sie in der Lage sein, Ihre UFW-Protokolle nur in /var/log/ufw.log zu finden.

2
Sebastian

Es gibt keine explizite Regel, um TCP/23 (Telnet) in vorhandenen Regeln in diesem Beitrag zu verweigern. Die implizite Regel lautet Verweigern/Protokollieren (Standard). Um die Protokollierung anzuhalten und dennoch zu verweigern, erstellen Sie in ens3 eine explizite Verweigerungsregel.

ufw verweigere auf ens3 einen beliebigen Port 23

oder einfach Firewall-Telnet, um Telnet auf allen Schnittstellen im Host abzulehnen:

ufw leugnen in 23

1
ccie6747