了解UFW测井

Question

这个UFW日志是什么意思？已经问了一个类似的问题，但是我想明确地知道UFW日志的每一行意味着什么。

Feb  6 16:27:08 jonasgroenbek kernel: [71910.873115] 
[UFW BLOCK] IN=eth0 OUT= 
MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00 
SRC=77.72.85.26 DST=157.230.26.180
LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP 
SPT=42772 DPT=3194 WINDOW=1024                        
RES=0x00 SYN URGP=0

为了我(并希望其他人)的可行性，我非常希望每个单独的部分都能很快被描述。

Answer 1

UFW只是iptables的前端，所以那些日志条目实际上是来自iptables的。

第1行：Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]

自启动以来的日期和时间、计算机名称和内核时间。

第2行：[UFW BLOCK] IN=eth0 OUT=

每当iptables做日志条目时，就有一个可选的--log-prefix，在本例中是[UFW BLOCK]。UFW最烦人的地方是，它对每种类型的日志条目都使用相同的前缀，因此很难与iptables规则集关联。IN是数据包到达的网络接口名称。由于数据包没有被重新传输，所以OUT是空的，如果这是一个路由器应用程序，情况可能是这样。

第3行：MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00

这些是用于本地目的地(a 6:8D:E2:51:62:4C (eth0))和源(f0:4b:3a:4f:80:30)的计算机地址代码。在您的示例中，源可能是ISP网关NIC的MAC。每个6字节。最后的2字节(08:00)是帧类型，在这种情况下，它意味着“以太网帧携带了一个IPv4数据报”。

第4行：SRC=77.72.85.26 DST=157.230.26.180

这些是数据包的IP地址，SRC，以及它应该去哪里，DST，应该是您的IP地址。

第5行：LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP

原始数据包的有效负载部分的长度；服务类型、优先级、生存期(数据包将因跳数过多而死前剩下多少跳)；标识；协议(在本例中为TCP)。

第6行：SPT=42772 DPT=3194 WINDOW=1024

源端口；厌恶端口；TCP窗口大小

第7行：RES=0x00 SYN URGP=0

TCP标志，这里重要的一个是"SYN“，意思是它试图建立一个新的连接。此日志条目意味着尝试已被阻止。