entradas do BLOCO UFW no log

Navegue suas respostas
1

Eu tenho muitas dessas entradas no meu log: 

Sep 22 12:20:23 server0187 kernel: [    7.267934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:23 server0187 kernel: [    7.688848] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:24 server0187 kernel: [    7.992988] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:32 server0187 kernel: [   16.219594] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=52457 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:39 server0187 kernel: [   23.217712] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:40 server0187 kernel: [   24.130220] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:44 server0187 kernel: [   28.063447] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33267 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:45 server0187 kernel: [   29.063934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33268 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:47 server0187 kernel: [   31.063621] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33269 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.272558] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:20:50 server0187 kernel: [   34.667044] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:08 server0187 kernel: [   52.296316] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=22917 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0 
Sep 22 12:21:39 server0187 kernel: [   83.646607] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=151.233.57.112 DST=se.rv.er.ip LEN=44 TOS=0x00 PREC=0x00 TTL=37 ID=56703 PROTO=TCP SPT=25625 DPT=23 WINDOW=30217 RES=0x00 SYN URGP=0

minhas regras ufw são bem padronizadas: 

22/tcp (OpenSSH)           ALLOW IN    Anywhere                  
80,443/tcp (Nginx Full)    ALLOW IN    Anywhere                  
80,443/tcp                 ALLOW IN    Anywhere                  
25                         ALLOW IN    Anywhere                  
143                        ALLOW IN    Anywhere                  
993                        ALLOW IN    Anywhere                  
22                       ALLOW IN    Anywhere                  
21                       ALLOW IN    Anywhere                  
21/tcp                   ALLOW IN    Anywhere                  
22/tcp (OpenSSH (v6))      ALLOW IN    Anywhere (v6)             
80,443/tcp (Nginx Full (v6)) ALLOW IN    Anywhere (v6)             
80,443/tcp (v6)            ALLOW IN    Anywhere (v6)             
25 (v6)                    ALLOW IN    Anywhere (v6)             
143 (v6)                   ALLOW IN    Anywhere (v6)             
993 (v6)                   ALLOW IN    Anywhere (v6)             
22 (v6)                  ALLOW IN    Anywhere (v6)             
21 (v6)                  ALLOW IN    Anywhere (v6)             
21/tcp (v6)              ALLOW IN    Anywhere (v6)

Como posso me livrar disso?

    
por Nimbuz 22.09.2016 / 14:26

2 respostas

4

  

Antes de ler esta resposta, considere o seguinte:

     

  1. Existem 65.534 portas utilizáveis (1 - 65534) ao conectar-se a um sistema e vários protocolos diferentes; Isso significa que há um grande número de possíveis conexões "bloqueadas" com base em qualquer critério configurado em suas regras de firewall para "tráfego permitido".

    2.   

  2. Qualquer coisa voltada para a Internet estará recebendo tentativas de conexão de várias coisas para a caixa, como:

         
    • Tráfego legítimo permitido
      •   
    • Scanners de serviço
      •   
    • Forçadores brutos
      •   
    • Malware / Hackers
      •   
    • etc. (praticamente qualquer coisa que queira tentar e conectar-se, seja permitido ou não).
      •   
    3.   

  3. Qualquer coisa voltada publicamente para a Internet fará com que as coisas tentem encontrar serviços em execução no sistema ou tentará verificar a caixa   potenciais pontos de violação. Daí os alertas BLOCK no syslog.

    4.   

  4. Os alertas de "BLOCK" do Firewall indicam que o seu firewall está funcionando como deveria, e você não deveria estar realmente muito preocupado em ver muita coisa   esses alertas, especialmente se o seu sistema estiver diretamente voltado para a Internet   (e não atrás de um roteador, etc.).

    5.   

Agora, responda a sua preocupação nos seus comentários sobre "Há muitas dessas entradas" e "é por isso que estou preocupado".

Quando você executa um firewall de lista de permissões com o UFW, há uma regra padrão adicionada como resultado das configurações padrão do UFW, que adicionam automaticamente uma regra LOG a qualquer tráfego não aceito ou tratado pelas regras de firewall. Por exemplo, digamos que eu tenha um servidor e o configure para permitir somente SSH do endereço IP 1.2.3.4. Qualquer outro tráfego para o meu servidor não relacionado ao tráfego do servidor que está saindo ou do tráfego SSH de 1.2.3.4 para o meu servidor (e vice-versa na direção oposta) será bloqueado e um alerta UFW BLOCK será enviado para o sistema logs para indicar que o tráfego que não corresponde a uma das minhas regras permitidas foi bloqueado. (Ou seja, somente o tráfego de 1.2.3.4 para a porta 22 (SSH) ou o tráfego bidirecional relacionado a essa conexão acionará um alerta BLOCK )

Você deveria se preocupar com isso? Absolutamente não. Serviços voltados para Web, servidores, redes, etc. recebem um tonelada de tráfego para eles, de scanners de serviço, conexões legítimas, mal-intencionados agentes de ameaças, etc. Não é incomum ver muitas tentativas de se conectar a uma rede a partir de fora de grandes intervalos de endereços IP, se seu sistema / servidor estiver Internet enfrentando, porque esse tipo de tráfego é geralmente bloqueado.

Agora, responda à sua pergunta original sobre como desativar os alertas UFW BLOCK . Embora eu não recomende desabilitar os alertas (porque isso indica que seu firewall está funcionando como pretendido ), você pode desabilitar os itens do log de alerta do UFW fazendo o seguinte: 

sudo ufw logging off

Note que eu realmente não recomendo que você desabilite seu log de tráfego bloqueado, a menos que você realmente precise (como syslog ocupando muito espaço em disco, que é realmente não é comum mesmo nesses casos), mas depende de você fazer isso ou não.

    
por Thomas Ward 22.09.2016 / 18:23
1

Não existe uma regra explícita para negar o tcp / 23 (telnet) nas regras existentes neste post, a regra implícita é negar / registrar (padrão). Para interromper o registro e ainda negar - crie uma regra de negação explícita em ens3.

ufw nega no ens3 para qualquer porta 23

ou simplesmente firewall telnet para negar o telnet em todas as interfaces no host:

ufw nega em 23

    
por ccie6747 06.12.2017 / 17:16
Como instalar o CUDA 8.0 no Ubuntu 16.04 com Nvidia GeForce GTX 1080 Perfil do Chrome em execução em outro PC?