Debian システムが実行中ですウプボ。発信するすべての接続に対して「デフォルトで拒否」を設定し、必要に応じて特定のトラフィック(ポートおよび/またはIPアドレス)を開きます。
dmesg
アウトバウンド接続を試みていることを確認するためにログを使用しました。私は通常IPアドレスおよび/またはポートを調べて、何が起こっているのかを調べることができます。しかし、何があるのかを確認する方法はありますか?アプリケーションアウトバウンドパケットを送信しようとしていますか?
答え1
おそらくufw
ログをチェックするのが最善です。
sudo less /var/log/ufw*
ブロックログがない場合は、ログレベルを確認してください。ロギングレベルが高いほど、ディスクがすぐにいっぱいになることに注意してください。
ファイル:/etc/ufw/ufw.conf
# Please use the 'ufw' command to set the loglevel. Eg: 'ufw logging medium'.
# See 'man ufw' for details.
LOGLEVEL=low
man ufw
ロギングに関する情報の表示
logging on|off|LEVEL
toggle logging. Logged packets use the LOG_KERN syslog facility. Systems configured for rsyslog support may
also log to /var/log/ufw.log. Specifying a LEVEL turns logging on for the specified LEVEL. The default log
level is 'low'. See LOGGING for details.
........
LOGGING
ufw supports multiple logging levels. ufw defaults to a loglevel of 'low' when a loglevel is not specified. Users
may specify a loglevel with:
ufw logging LEVEL
LEVEL may be 'off', 'low', 'medium', 'high' and 'full'. Log levels are defined as:
off disables ufw managed logging
low logs all blocked packets not matching the defined policy (with rate limiting), as well as packets matching
logged rules
medium log level low, plus all allowed packets not matching the defined policy, all INVALID packets, and all new
connections. All logging is done with rate limiting.
high log level medium (without rate limiting), plus all packets with rate limiting
full log level high without rate limiting
Loglevels above medium generate a lot of logging output, and may quickly fill up your disk. Loglevel medium may
generate a lot of logging output on a busy system.
Specifying 'on' simply enables logging at log level 'low' if logging is currently not enabled.
ログの例:
May 22 00:06:44 HOSTNAME kernel: [12387117.150851] [UFW -->BLOCK<--] IN=<NIC> OUT= MAC=XXXXXXXXXXXXXXXXXXXXXX SRC=0.0.0.0 DST=XXXXXXXXX LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2
今、どのアプリケーションがそのメッセージを送信するのかを知りたいと思います。アプリケーションログ(失敗した試み)などがあるかもしれません。
また、ポートを開き、nethogs
誰が帯域幅を使用しているかを確認し、そこから移動することもできます。次にポートを閉じます。