นอกเหนือจากที่กล่าวมาแล้วยังเป็นไปได้ที่จะสรุปสิ่งที่จะถูกบันทึกไว้โดยการตรวจสอบกฎiptables โดยเฉพาะกฎการจับคู่ที่ถูกบันทึกไว้สามารถกรองได้sudo iptables -L | grep -i "log"ดังนี้:
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
กฎเหล่านี้มีไว้สำหรับกฎเริ่มต้นส่วนใหญ่ การตรวจสอบผลลัพธ์ข้างต้นเผยให้เห็นufw-before-*โซ่เพื่อสร้างบันทึก [UFW AUDIT .. ]
ฉันไม่ได้เป็นผู้เชี่ยวชาญใหญ่ใน iptables และคู่มือ UFW ไม่เป็นประโยชน์มากเกี่ยวกับเรื่องนี้ แต่เท่าที่ผมสามารถบอกกฎการจับคู่นั่งห่วงโซ่ใน/etc/ufw/before.rules
ตัวอย่างเช่นบรรทัดด้านล่างอนุญาตให้มีการเชื่อมต่อแบบวนรอบซึ่งอาจเรียกสองบรรทัดตัวอย่างล่าสุดในบันทึกของคุณ (บรรทัดที่ขึ้นต้นด้วย [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
ในส่วนของฉันฉันได้รับLLMNRแพ็กเก็ตจำนวนมากที่พอร์ต 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
ซึ่งฉันคิดว่ามีสาเหตุมาจากสิ่งต่อไปนี้ในrules.before:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
วิธีหนึ่งในการยกเลิกการใช้งานดังกล่าวคือทำการปิดไฟต่อไปนี้:
sudo ufw deny 5353