UFW BLOCK entrées dans le journal
J'ai beaucoup de ces entrées dans mon journal:
Sep 22 12:20:23 server0187 kernel: [ 7.267934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:23 server0187 kernel: [ 7.688848] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:24 server0187 kernel: [ 7.992988] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=27738 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:32 server0187 kernel: [ 16.219594] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=52457 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:39 server0187 kernel: [ 23.217712] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:40 server0187 kernel: [ 24.130220] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=7040 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:44 server0187 kernel: [ 28.063447] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33267 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0
Sep 22 12:20:45 server0187 kernel: [ 29.063934] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33268 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0
Sep 22 12:20:47 server0187 kernel: [ 31.063621] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=61.62.8.132 DST=se.rv.er.ip LEN=60 TOS=0x00 PREC=0x00 TTL=45 ID=33269 DF PROTO=TCP SPT=33345 DPT=23 WINDOW=14520 RES=0x00 SYN URGP=0
Sep 22 12:20:50 server0187 kernel: [ 34.272558] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:20:50 server0187 kernel: [ 34.667044] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=37595 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:21:08 server0187 kernel: [ 52.296316] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=113.69.80.129 DST=se.rv.er.ip LEN=40 TOS=0x00 PREC=0x00 TTL=48 ID=63510 PROTO=TCP SPT=22917 DPT=23 WINDOW=31379 RES=0x00 SYN URGP=0
Sep 22 12:21:39 server0187 kernel: [ 83.646607] [UFW BLOCK] IN=ens3 OUT= MAC=56:00:21:32:65:eb:fe:00:00:32:65:eb:08:99 SRC=151.233.57.112 DST=se.rv.er.ip LEN=44 TOS=0x00 PREC=0x00 TTL=37 ID=56703 PROTO=TCP SPT=25625 DPT=23 WINDOW=30217 RES=0x00 SYN URGP=0
mes règles ufw sont plutôt standards:
22/tcp (OpenSSH) ALLOW IN Anywhere
80,443/tcp (Nginx Full) ALLOW IN Anywhere
80,443/tcp ALLOW IN Anywhere
25 ALLOW IN Anywhere
143 ALLOW IN Anywhere
993 ALLOW IN Anywhere
22 ALLOW IN Anywhere
21 ALLOW IN Anywhere
21/tcp ALLOW IN Anywhere
22/tcp (OpenSSH (v6)) ALLOW IN Anywhere (v6)
80,443/tcp (Nginx Full (v6)) ALLOW IN Anywhere (v6)
80,443/tcp (v6) ALLOW IN Anywhere (v6)
25 (v6) ALLOW IN Anywhere (v6)
143 (v6) ALLOW IN Anywhere (v6)
993 (v6) ALLOW IN Anywhere (v6)
22 (v6) ALLOW IN Anywhere (v6)
21 (v6) ALLOW IN Anywhere (v6)
21/tcp (v6) ALLOW IN Anywhere (v6)
Comment puis-je m'en débarrasser?
Avant de lire cette réponse, tenez compte des points suivants:
Il y a 65 534 ports utilisables (1 - 65534) lors de la connexion à un système, ainsi que de nombreux protocoles différents. Cela signifie qu'il existe un nombre ÉNORME de connexions "bloquées" potentielles en fonction du critère défini dans les règles de votre pare-feu pour le "trafic autorisé".
Tout ce qui est face à Internet sera tenté par diverses tentatives de connexion, telles que:
- Trafic autorisé légitime
- Scanners de service
- Forceurs brutaux
- Logiciels malveillants/hackers
- etc. (à peu près tout ce qui veut essayer et se connecter, que cela soit autorisé ou non).
Tout ce qui est publiquement confronté à Internet permet aux choses d'essayer de trouver des services en cours d'exécution sur le système ou d'essayer de scanner la boîte pour détecter d'éventuels points de violation. D'où les alertes
BLOCKdans le syslog.Les alertes "BLOCK" de pare-feu signifient que votre pare-feu fonctionne comme prévu et vous ne devriez pas vraiment vous inquiéter de voir beaucoup de ces alertes, en particulier si votre système fait directement face à Internet (et non derrière un routeur, etc.).
Maintenant, pour répondre à votre préoccupation dans vos commentaires sur "Il y a beaucoup de ces entrées" et "c'est pourquoi je suis inquiet".
Lorsque vous exécutez un pare-feu de liste blanche avec UFW, une règle par défaut est ajoutée à la suite des configurations UFW par défaut, qui ajoutera automatiquement une règle LOGpour tout trafic non accepté ou géré par les règles de pare-feu. Par exemple, supposons que j'ai un serveur et que je le configure pour n'autoriser que SSH à partir de l'adresse IP 1.2.3.4. Tout autre trafic sur mon serveur non lié au trafic sortant du serveur ou trafic SSH de la 1.2.3.4 à mon serveur (et inversement dans le sens opposé) sera bloqué et une alerte UFW BLOCK sera envoyée aux journaux système à indique que le trafic qui ne correspond pas à l'une de mes règles autorisées a été bloqué. (C’est-à-dire que seul le trafic entre 1.2.3.4 et le port 22 (SSH), ou le trafic bidirectionnel associé à cette connexion, déclenchera une alerte BLOCKname__)
Devriez-vous vous en préoccuper? Absolument pas. Services, serveurs, réseaux, etc. faisant face au Web, obtenez un tonne du trafic pour eux, des scanners de services, des connexions légitimes, des acteurs de menace malveillants, etc. Il est pas inhabituel de voir beaucoup de tente de se connecter à un réseau depuis l’extérieur à partir de larges plages d’adresses IP, si votre système/serveur est orienté Internet, car ce type de trafic est généralement bloqué.
Abordons maintenant votre question initiale de savoir comment désactiver les alertes UFW BLOCK. Bien que je ne recommande pas de désactiver les alertes (car cela indique que votre pare-feu fonctionne fonctionne comme prévu ), vous pouvez désactiver le UFW. Alerte des éléments du journal en procédant comme suit:
Sudo ufw logging off
Notez que je ( vraiment ) ne vous recommande pas de désactiver la journalisation du trafic bloqué sauf si vous en avez vraiment besoin (comme la prise de syslog trop d’espace disque, ce qui n’est pas vraiment courant, même dans ces cas-là), mais cela dépend de vous, que vous le vouliez ou non.
Si les journaux vous gênent parce qu'ils corrigent votre syslog, veuillez éditer /etc/rsyslog.d/20-ufw.conf, la dernière ligne (dans 18.04) lit
# & stop
supprimez le # puis redémarrez la journalisation:
Sudo service rsyslog restart
Maintenant, vous devriez pouvoir trouver vos journaux ufw uniquement dans /var/log/ufw.log
Il n'y a pas de règle explicite pour refuser tcp/23 (telnet) dans les règles existantes de ce post, la règle implicite est le refus/la journalisation (par défaut). Pour arrêter la journalisation et toujours refuser, créez une règle de refus explicite sur ens3.
ufw nier dans ens3 à n'importe quel port 23
ou simplement pare-feu telnet pour refuser telnet sur toutes les interfaces de l'hôte:
ufw nier dans 23