UFW只是iptables的一个前端,所以这些日志条目实际上来自iptables。
第一行:Feb 6 16:27:08 jonasgroenbek kernel: [71910.873115]
日期和时间、计算机名称以及内核启动后的时间。
第二行:[UFW BLOCK] IN=eth0 OUT=
每当iptables进行日志记录时,都会有一个可选的--log-prefix,本例中为[UFW BLOCK]。关于UFW非常烦人的一点是,它对每种类型的日志条目使用相同的前缀,这使得很难与iptables规则集进行关联。IN是数据包到达的网络接口名称。OUT为空,因为该数据包没有被重新传输,如果这是一个路由器应用程序,则可能不是这种情况。
第三行:MAC=a6:8d:e2:51:62:4c:f0:4b:3a:4f:80:30:08:00
这些是本地区目的地(a6:8d:e2:51:62:4c (eth0))和源(f0:4b:3a:4f:80:30)网络接口卡的机器地址代码。在您的情况下,源可能是您的ISP网关NIC的MAC地址。每个地址有6个字节。末尾的额外2个字节(08:00)是帧类型,在本例中表示“以太网帧携带IPv4数据报”。
第4行:
SRC=77.72.85.26 DST=157.230.26.180
这些是数据包来自的IP地址SRC以及它应该去的地方DST,应该是您的IP地址。
第5行:
LEN=40 TOS=0x00 PREC=0x00 TTL=251 ID=62215 PROTO=TCP
负载部分的长度;服务类型、优先级、生存时间(在数据包因过多跳数而死亡之前还剩下多少跳);标识符;协议(在本例中为TCP)。
第6行:
SPT=42772 DPT=3194 WINDOW=1024
源端口;目的端口;TCP窗口大小
第7行:RES=0x00 SYN URGP=0
TCP标志,这里重要的是“SYN”,意味着尝试建立新连接。此日志条目表示该尝试已被阻止。
netdata会向我发送服务器丢包的通知。现在我有点明白它们是从哪里来的了,似乎是一个随机检查开放端口等的机器人。很高兴ufw防火墙已经将它们阻止了,但我不太确定接下来需要采取什么进一步的措施。 - xperator