这个 UFW 日志是什么意思?已经问过一个类似的问题,但我想明确地知道 UFW 日志的每一行是什么意思
Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]
[UFW BLOCK] IN=eth0 OUT=
MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00
SRC=77.72.85.26 DST=157.230.26.180
LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP
SPT=42772 DPT=3194 WINDOW=1024
RES=0x00 SYN URGP=0
对于我(以及希望其他人)的可行性,我非常希望能简短地描述每个单独的部分。
UFW 只是 iptables 的前端,因此这些日志条目实际上来自 iptables。
第 1 行:
Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]日期和时间、您的计算机名称和自引导以来的内核时间。
第 2 行:
[UFW BLOCK] IN=eth0 OUT=每当 iptables 执行日志条目时,都会有一个可选的
--log-prefix,在这种情况下[UFW BLOCK]。UFW 最烦人的一点是,它对每种类型的日志条目都使用相同的前缀,因此很难关联回 iptables 规则集。IN是数据包到达的网络接口名称。是空白的OUT,因为数据包没有被重新传输,如果这是一个路由器应用程序可能就是这种情况。第 3 行:
MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00这些是本地目标 (a6:8d:e2:51:62:4c (eth0)) 和源 (f0:4b:3a:4f:80:30) 网络接口卡的机器地址代码。在您的情况下,源可能是您的 ISP 网关 NIC 的 MAC。每个 6 个字节。末尾额外的 2 个字节(08:00)是帧类型,在这种情况下,它表示“以太网帧携带 IPv4 数据报”。
第 4 行:
SRC=77.72.85.26 DST=157.230.26.180这些是数据包来自哪里的IP地址,SRC,它应该去哪里,DST,应该是你的IP地址。
第 5 行:
LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP原始数据包的有效载荷部分的长度;服务类型、存在时间、生存时间(在数据包因跳数过多而死亡之前还剩下多少跳);鉴别; 协议(在本例中为 TCP)。
第 6 行:
SPT=42772 DPT=3194 WINDOW=1024源端口;探测端口;TCP 窗口大小
第 7 行:
RES=0x00 SYN URGP=0TCP 标志,这里重要的是“SYN”,意思是它试图建立一个新的连接。此日志条目表示尝试已被阻止。