Solución:
Eso depende de la línea. Por lo general, es Campo = valor.
Hay ENTRADA, SALIDA, la interfaz entrante o saliente (o ambas, para los paquetes que se acaban de retransmitir.
Algunos de ellos son:
- TOS, por Tipo de servicio,
- DST es la ip de destino,
- SRC es ip de origen
- TTL es tiempo de vida, un pequeño contador decrementa cada vez que un paquete pasa a través de otro enrutador (por lo tanto, si hay un bucle, el paquete se destruye a sí mismo una vez a 0)
- DF es el bit “no fragmentar”, que solicita que el paquete no se fragmente cuando se envía
- PROTO es el protocolo (principalmente TCP y UDP)
- SPT es el puerto de origen
- DPT es el puerto de destino
etc.
Debería echar un vistazo a la documentación de TCP / UDP / IP, donde todo se explica de una manera más detallada que yo podría hacer.
Tomemos el primero, eso significa que 176.58.105.134 envió un paquete UDP en el puerto 123 para 194.238.48.2. Eso es para ntp
. Así que supongo que alguien intentó usar su computadora como servidor ntp, probablemente por error.
Para la otra línea, eso es curioso, es tráfico en la interfaz loopback (lo), es decir, eso no va a ninguna parte, va y viene de su computadora.
Verificaría si algo está escuchando en el puerto tcp 30002 con lsof
o netstat
.
Configure su registro en low
para quitar el AUDIT
mensajes.
El propósito de AUDIT (por lo que estoy viendo) está relacionado con el registro no predeterminado / recomendado; sin embargo, eso es una suposición, y parece que no puedo encontrar nada concreto con eso.
Además de lo que se ha dicho, también es posible inferir lo que se va a registrar inspeccionando iptables normas. Específicamente, las reglas coincidentes que se están registrando se pueden filtrar de esta manera sudo iptables -L | grep -i "log"
:
ufw-before-logging-input all -- anywhere anywhere
ufw-after-logging-input all -- anywhere anywhere
ufw-before-logging-forward all -- anywhere anywhere
ufw-after-logging-forward all -- anywhere anywhere
ufw-before-logging-output all -- anywhere anywhere
ufw-after-logging-output all -- anywhere anywhere
Chain ufw-after-logging-forward (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
Chain ufw-after-logging-input (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-after-logging-output (1 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
ufw-logging-deny all -- anywhere anywhere ctstate INVALID
Chain ufw-before-logging-forward (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-input (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-before-logging-output (1 references)
LOG all -- anywhere anywhere ctstate NEW limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT] "
Chain ufw-logging-allow (0 references)
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW ALLOW] "
Chain ufw-logging-deny (2 references)
LOG all -- anywhere anywhere ctstate INVALID limit: avg 3/min burst 10 LOG level warning prefix "[UFW AUDIT INVALID] "
LOG all -- anywhere anywhere limit: avg 3/min burst 10 LOG level warning prefix "[UFW BLOCK] "
ufw-logging-deny all -- anywhere anywhere limit: avg 3/min burst 10
LOG all -- anywhere anywhere limit: avg 3/min burst 5 LOG level warning prefix "[UFW LIMIT BLOCK] "
Chain ufw-user-logging-forward (0 references)
Chain ufw-user-logging-input (0 references)
Chain ufw-user-logging-output (1 references)
Esas son, en su mayor parte, reglas predeterminadas. La inspección de la salida anterior revela la ufw-before-*
cadenas para generar [UFW AUDIT ..] registros.
No soy un gran experto en iptables y el manual de UFW no es muy útil en esto, pero por lo que puedo decir, las reglas que coinciden con esta cadena se encuentran en /etc/ufw/before.rules.
Por ejemplo, las líneas a continuación permiten conexiones de bucle invertido que podrían haber activado las dos últimas líneas de ejemplo en su registro (las que comienzan con [UFW AUDIT] IN = lo)
# rules.before
# ....
# allow all on loopback
-A ufw-before-input -i lo -j ACCEPT
-A ufw-before-output -o lo -j ACCEPT
# ....
En cuanto a mi parte, obtengo muchos paquetes LLMNR registrados en el puerto 5353:
Mar 17 21:02:21 pc kernel: [133419.183616] [UFW AUDIT] IN=wlp2s0 OUT= MAC= SRC=192.168.1.2 DST=224.0.0.251 LEN=146 TOS=0x00 PREC=0x00 TTL=255 ID=22456 DF PROTO=UDP SPT=5353 DPT=5353 LEN=126
Que creo que son causados por lo siguiente en rules.before
:
# allow MULTICAST mDNS for service discovery (be sure the MULTICAST line above
# is uncommented)
-A ufw-before-input -p udp -d 224.0.0.251 --dport 5353 -j ACCEPT
Una forma de desactivarlos es activar lo siguiente:
sudo ufw deny 5353