UFW에 의해 차단된 응용 프로그램을 확인하는 방법

tag-icon tag-icon security firewall ufw
UFW에 의해 차단된 응용 프로그램을 확인하는 방법

데비안 시스템이 실행 중입니다우프보. 나가는 모든 연결에 대해 "기본적으로 거부"를 설정하고 필요에 따라 특정 트래픽(포트 및/또는 IP 주소)을 엽니다.

dmesg아웃바운드 연결을 시도하는 것이 있는지 확인하기 위해 로그를 사용했습니다 . 나는 대개 IP 주소 및/또는 포트를 조사하여 무슨 일이 일어나고 있는지 알아낼 수 있습니다. 그러나 어떤 것이 있는지 확인할 수 있는 방법이 있습니까?애플리케이션아웃바운드 패킷을 보내려고 합니까?

답변1

아마도 ufw로그를 확인하는 것이 가장 좋습니다.

sudo less /var/log/ufw*

차단 로그가 없는 경우 로그 수준을 확인하세요. 로깅 수준이 높을수록 디스크가 빨리 채워질 수 있다는 점을 명심하세요.

파일:/etc/ufw/ufw.conf

# Please use the 'ufw' command to set the loglevel. Eg: 'ufw logging medium'.
# See 'man ufw' for details.
LOGLEVEL=low

man ufw로깅에 대한 정보 표시

       logging on|off|LEVEL
              toggle logging. Logged packets use the LOG_KERN syslog facility. Systems configured for rsyslog support may
              also log to /var/log/ufw.log. Specifying a LEVEL turns logging on for the specified LEVEL. The default  log
              level is 'low'.  See LOGGING for details.
........
LOGGING
       ufw  supports multiple logging levels. ufw defaults to a loglevel of 'low' when a loglevel is not specified. Users
       may specify a loglevel with:

         ufw logging LEVEL

       LEVEL may be 'off', 'low', 'medium', 'high' and 'full'. Log levels are defined as:

       off    disables ufw managed logging

       low    logs all blocked packets not matching the defined policy (with rate limiting), as well as packets  matching
              logged rules

       medium log  level  low, plus all allowed packets not matching the defined policy, all INVALID packets, and all new
              connections.  All logging is done with rate limiting.

       high   log level medium (without rate limiting), plus all packets with rate limiting

       full   log level high without rate limiting

       Loglevels above medium generate a lot of logging output, and may quickly fill up your disk.  Loglevel  medium  may
       generate a lot of logging output on a busy system.

       Specifying 'on' simply enables logging at log level 'low' if logging is currently not enabled.

로그 예:

May 22 00:06:44 HOSTNAME kernel: [12387117.150851] [UFW -->BLOCK<--] IN=<NIC> OUT= MAC=XXXXXXXXXXXXXXXXXXXXXX SRC=0.0.0.0 DST=XXXXXXXXX LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

이제 어떤 응용 프로그램이 해당 메시지를 보내는지 알고 싶으실 겁니다. 응용 프로그램 로그(실패한 시도) 등이 있을 수도 있습니다.

또한 포트를 열고 nethogs누가 대역폭을 사용하고 있는지 확인하고 거기에서 이동할 수도 있습니다. 그런 다음 포트를 닫습니다.

관련 정보