UFWによってブロックされたアプリケーションを確認する方法

tag-icon tag-icon security firewall ufw
UFWによってブロックされたアプリケーションを確認する方法

Debian システムが実行中ですウプボ。発信するすべての接続に対して「デフォルトで拒否」を設定し、必要に応じて特定のトラフィック(ポートおよび/またはIPアドレス)を開きます。

dmesgアウトバウンド接続を試みていることを確認するためにログを使用しました。私は通常IPアドレスおよび/またはポートを調べて、何が起こっているのかを調べることができます。しかし、何があるのか​​を確認する方法はありますか?アプリケーションアウトバウンドパケットを送信しようとしていますか?

ベストアンサー1

おそらくufwログをチェックするのが最善です。

sudo less /var/log/ufw*

ブロックログがない場合は、ログレベルを確認してください。ロギングレベルが高いほど、ディスクがすぐにいっぱいになることに注意してください。

ファイル:/etc/ufw/ufw.conf

# Please use the 'ufw' command to set the loglevel. Eg: 'ufw logging medium'.
# See 'man ufw' for details.
LOGLEVEL=low

man ufwロギングに関する情報の表示

       logging on|off|LEVEL
              toggle logging. Logged packets use the LOG_KERN syslog facility. Systems configured for rsyslog support may
              also log to /var/log/ufw.log. Specifying a LEVEL turns logging on for the specified LEVEL. The default  log
              level is 'low'.  See LOGGING for details.
........
LOGGING
       ufw  supports multiple logging levels. ufw defaults to a loglevel of 'low' when a loglevel is not specified. Users
       may specify a loglevel with:

         ufw logging LEVEL

       LEVEL may be 'off', 'low', 'medium', 'high' and 'full'. Log levels are defined as:

       off    disables ufw managed logging

       low    logs all blocked packets not matching the defined policy (with rate limiting), as well as packets  matching
              logged rules

       medium log  level  low, plus all allowed packets not matching the defined policy, all INVALID packets, and all new
              connections.  All logging is done with rate limiting.

       high   log level medium (without rate limiting), plus all packets with rate limiting

       full   log level high without rate limiting

       Loglevels above medium generate a lot of logging output, and may quickly fill up your disk.  Loglevel  medium  may
       generate a lot of logging output on a busy system.

       Specifying 'on' simply enables logging at log level 'low' if logging is currently not enabled.

ログの例:

May 22 00:06:44 HOSTNAME kernel: [12387117.150851] [UFW -->BLOCK<--] IN=<NIC> OUT= MAC=XXXXXXXXXXXXXXXXXXXXXX SRC=0.0.0.0 DST=XXXXXXXXX LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

今、どのアプリケーションがそのメッセージを送信するのかを知りたいと思います。アプリケーションログ(失敗した試み)などがあるかもしれません。

また、ポートを開き、nethogs誰が帯域幅を使用しているかを確認し、そこから移動することもできます。次にポートを閉じます。

おすすめ記事