Comprendre le journal UFW

UFW n'est qu'un frontal pour iptables, et donc ces entrées de journal proviennent en fait d'iptables.

Ligne 1: Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]

la date et l'heure, le nom de votre ordinateur et l'heure du noyau depuis le démarrage.

Ligne 2: [UFW BLOCK] IN=eth0 OUT=

chaque fois qu'iptables fait une entrée de journal, il y a une option --log-prefix, dans ce cas [UFW BLOCK]. L'ennuyeux problème avec UFW est qu'il utilise le même préfixe pour chaque type d'entrée de journal, ce qui rend difficile la corrélation avec l'ensemble de règles iptables. IN est le nom de l'interface réseau sur lequel le paquet est arrivé. OUT est vide car le paquet n'est pas retransmis, ce qui pourrait être le cas s'il s'agissait d'une application de routeur.

Ligne 3: MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00

Il s'agit des codes d'adresse de la machine pour la carte d'interface réseau de destination (a6: 8d: e2: 51: 62: 4c (eth0)) et de source (f0: 4b: 3a: 4f: 80: 30). Dans votre cas, la source est probablement le MAC de votre NIC de passerelle ISP. 6 octets chacun. Les 2 octets supplémentaires (08:00) à la fin sont le type de trame, dans ce cas, cela signifie "la trame Ethernet portait un datagramme IPv4".

Ligne 4: SRC=77.72.85.26 DST=157.230.26.180

Ce sont les adresses IP d'où provient le paquet, SRC, et où est-il censé aller, DST et devrait être votre adresse IP.

Ligne 5: LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP

Longueur de la portion de charge utile du paquet brut; Type de service, Présence, Durée de vie (combien de sauts restants avant que le paquet ne meure d'un trop grand nombre de sauts); Identification; Protocole (dans ce cas TCP).

Ligne 6: SPT=42772 DPT=3194 WINDOW=1024

Port source; Port de détestation; TCP taille de la fenêtre

Ligne 7: RES=0x00 SYN URGP=0

Drapeaux TCP, l'important ici est "SYN" c'est-à-dire qu'il tente d'établir une NOUVELLE connexion. Cette entrée de journal signifie que la tentative a été bloquée.