我有一个运行 ufw 的 NAT 盒(Ubu 10.04),其内容如下sudo ufw status verbose:
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
22480/tcp LIMIT IN Anywhere
当我nmap -PN -p 22 192.168.0.0/24找到在我的 NATed(工作正常)内部网络上运行的所有 SSH 时,我得到以下信息:
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-16 23:06 EDT
0 ports scanned on 192.168.0.0
Interesting ports on 192.168.0.1:
PORT STATE SERVICE
22/tcp closed ssh
Interesting ports on 192.168.0.2:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.3:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.4:
PORT STATE SERVICE
22/tcp filtered ssh
... Continuing for all 254 IPs ...
请注意,其他 IP(2、3、4、...)上没有机器。
为什么这个 UFW 规则会导致这种情况?为什么 UFW 输入规则会干扰从路由器到内部网络的 nmap 功能?这不是输入,并且 ufw 设置为阻塞输入端口而不阻塞输出到端口的默认配置(上述除外)。
另外,我怎样才能让它停止记录它收到的所有不重要的废话?我确实希望它记录发往我 IP 的内容,但不希望在外部(可路由)网络上广播来自 Windows 机器的流量。这些东西的日志记录确实使日志变得巨大。
我对ufw一无所知。但是,如果您在没有先发现它的情况下测试不存在的机器,则nmap 总是返回过滤的。
如果机器没有响应,nmap 无法真正知道是因为它不存在还是仅仅因为它忽略了包。当您禁用 ping (-PN) 时,Nmap 不会尝试发现主机,因此它假定它存在并正在过滤数据包。
对于 ufw 日志记录,ufw 有几个不同的日志级别。您可以像这样调整它们:$ sudo ufw logging low
如果您想要一些日志记录,但不是全部,您可以设置日志级别,然后在链的开头插入拒绝规则。例如:
$ sudo ufw 插入 1 拒绝 192.168.1.255