UFW protokolliert blockierte Anfrage am offenen Port. Was fehlt mir?

7

29. November 15:17:15 Hostname-Kernel: [397768.554884] [UFW-BLOCK] IN = eth0 OUT = MAC = [mac] SRC = [ip] DST = [ip] LEN = 52 TOS = 0x00 PREC = 0x00 TTL = 52 ID = 17050 PROTO = TCP SPT = 56152 DPT = 80 WINDOW = 65535 RES = 0x00 ACK FIN URGP = 0

Soweit ich weiß, gab es eine Anfrage an Port 80, die blockiert wurde. Die meisten Nachrichten haben DPT=80.

Was seltsam ist, da Port 80 für Unternehmen geöffnet ist und Websites wie nie zuvor bedient. Was fehlt mir hier?

Znarkus
quelle

Antworten:

13

Beachten Sie, dass für Ihr Paket sowohl die FIN- als auch die ACK-Bits gesetzt sind. Dies ist das letzte Paket, das der Remote-Host in der TCP-Prozedur zum Herunterfahren (Ende der Verbindung) sendet.

Wenn Ihr Host das Senden beendet hat, setzt er die FINund ACK-Flaggen für das letzte Paket. Die Remote-Hosts senden ein Paket mit ACKset, gefolgt von einem Paket mit FINund ACKset.

Local          remote
FIN ACK ---->
        <----  ACK
        <----  FIN ACK (?optional?)
ACK     ----->

In der Praxis werden die Fernbedienungen FIN ACKals optional betrachtet, sodass die Netfilter-Firewall ihre Verbindungstabelle leert, wenn sie sieht, ACKdass beim FIN ACKEintreffen des Pakets keine Verbindung zugeordnet ist und verworfen wird.

user9517
quelle
1
Nun, das macht das Protokollieren von Sachen von iptables / UFW wirklich sinnlos, danke für die Klarstellung.
Kzqai