在我的 Ubuntu 16.04 机器上,我已经像这样配置了 UFW:
$ sudo apt-get install ufw
$ sudo ufw limit 22/tcp
$ sudo ufw allow 80/tcp
$ sudo ufw allow 443/tcp
$ sudo ufw enable
现在,如果我运行sudo ufw status verbose,输出如下:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing), disabled (routed)
New profiles: skip
To Action From
-- ------ ----
22/tcp LIMIT IN Anywhere
80/tcp ALLOW IN Anywhere
443/tcp ALLOW IN Anywhere
22/tcp (v6) LIMIT IN Anywhere (v6)
80/tcp (v6) ALLOW IN Anywhere (v6)
443/tcp (v6) ALLOW IN Anywhere (v6)
据我所知,这看起来不错:它允许 SSH(受限制)以及 HTTP 和 HTTPS。这是想要的。
但是几天后,调查/var/log/ufw.log显示了很多条目,例如以下示例:
Jan 1 00:00:00 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=1234 DF PROTO=TCP SPT=17708 DPT=443 WINDOW=0 RES=0x00 RST URGP=0
Jan 2 23:59:59 <SERVER_NAME> kernel: [<UPTIME>] [UFW BLOCK] IN=eth0 OUT= MAC=<41_CHARACTERS> SRC=<IP_V4> DST=<IP_V4> LEN=52 TOS=0x00 PREC=0x00 TTL=51 ID=23456 DF PROTO=TCP SPT=29199 DPT=443 WINDOW=1061 RES=0x00 ACK FIN URGP=0
根据DPT=443,UFW 是否阻止了一些 HTTPS 请求?这是为什么?如上所述,在 UFW 配置中明确允许使用 HTTPS(即通过 TCP 的端口 443),不是吗?UFW 阻止这些请求还有什么其他原因?
(UFW 显然不会阻止所有HTTPS 请求,因为我可以在尝试时通过浏览器中的 HTTPS 打开我的网站。)
您的两个示例日志条目实际上是 tcp 会话终止类型数据包。对于 TCP 连接,Linux 倾向于使用“半双工”关闭序列,其中会话的任何一方都可以通过单次 2 路 FIN-ACK 握手(将连接置于 CLOSE_WAIT 状态)来启动连接终止,而不是完全4 路 FIN-ACK 握手。经常发生的情况是,尤其是在中间有路由器的情况下,一方认为会话已关闭,而另一方则没有。您的计算机已终止并忘记了会话,因此将数据包视为无效的新会话打开数据包并阻止它们。没有造成任何伤害,实际会话运行良好。
这里的重要信息是您的两个示例的 TCP 标志、“RST”(重置)和“ACK FIN”。