次のSudo ufw status verbose
でufwを実行しているNATボックス(Ubu 10.04)があります。
Status: active
Logging: on (low)
Default: deny (incoming), allow (outgoing)
New profiles: skip
To Action From
-- ------ ----
22480/tcp LIMIT IN Anywhere
ネットワーク内でNATされた(正常に動作している)すべてのSSHをnmap -PN -p 22 192.168.0.0/24
で見つけると、次のようになります。
Starting Nmap 5.00 ( http://nmap.org ) at 2010-08-16 23:06 EDT
0 ports scanned on 192.168.0.0
Interesting ports on 192.168.0.1:
PORT STATE SERVICE
22/tcp closed ssh
Interesting ports on 192.168.0.2:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.3:
PORT STATE SERVICE
22/tcp filtered ssh
Interesting ports on 192.168.0.4:
PORT STATE SERVICE
22/tcp filtered ssh
... Continuing for all 254 IPs ...
これらの他のIP(2、3、4、...)にはマシンがないことに注意してください。
このUFWルールがこれを引き起こしているのはなぜですか? UFW入力ルールがルーターから内部ネットワークにnmapする機能を台無しにする必要があるのはなぜですか?これは入力ではなく、ufwは入力ポートをブロックし、ポートへの出力をブロックしないというデフォルトの設定(上記を除く)に設定されています。
また、受信する重要ではないすべてのがらくたのログ記録を停止するにはどうすればよいですか? IP宛てのものをログに記録したいのですが、外部(ルーティング可能な)ネットワーク上のWindowsマシンからのトラフィックをブロードキャストしたくないのです。このようなもののロギングは本当にログを巨大にしています。
Ufwについては何も知りません。しかし、nmapは、それなしでは存在しないマシンをテストする場合、常にfilteredを返しますdiscovering最初に。
マシンが応答しない場合、nmapは、それが存在しないためか、パッケージを無視しているためかを実際に知ることはできません。 ping(-PN)を無効にしているため、Nmapはホストを検出しようとしないため、ホストが存在し、パケットをフィルタリングしていると見なされます。
Ufwロギングの場合、ufwにはいくつかの異なるログレベルがあります。次のように調整できます。$ Sudo ufw logging low
すべてではなく一部のログが必要な場合は、ログレベルを設定してから、チェーンの先頭に拒否ルールを挿入できます。例えば:
$ Sudoufw挿入1拒否から192.168.1.255