UFW-loggar: fråga om inkommande trafik och [UFW AUDIT]

När jag läser loggarna i Ubuntu (syslog, kern och ufw) så finns det poster där med rubriken [UFW AUDIT]. Vad är det? Jag har sökt massor på nätet men hittar inget om vad själva funktionen är. Jag har förstått det som att dessa loggas om man har ställt in UFW på full loggning, vilket genererar enorma mängder loggad information. Men vad är det för något? Jag får en hel del inkommande trafik med rubriken [UFW AUDIT] från diverse olika IP-adresser. Någon adress verkar vara från Canonical t.ex., ser jag när jag kollar upp den.

Fast vad betyder det, "oavsett reglerna"? Kan det göras anslutningsförsök som inte följer reglerna?

Ledsen, men förstår inte hur du menar. Om jag har huvudinställningen att blockera all inkommande trafik och inte har några egenkonfigurerade regler som tillåter några undantag, menar du att vissa inkommande anslutningsförsök ändå kan tillåtas och att dessa då loggas?

Vad skiljer i så fall de som flaggas som [AUDIT] från de som kallas [BLOCK]?

Betyder det alltså att vissa anlutningsförsök släpps igenom, om de inte registreras under [BLOCK] och att man måste ha på all loggning och leta efter [AUDIT] om man ska kunna upptäcka dem?

Ursäkta min ihärdighet, men gör inte BLOCK det också? Eller loggar AUDIT det som "når" brandväggen men BLOCK loggar det som "försöker" tränga in?

Ursäkta dröjsmålet, men jag gör ett försök till att försöka förstå detta. Är det så att både [BLOCK] och [AUDIT] loggar samma saker men att [AUDIT] också loggar inkommande (och kanske annat också)? Så om man är intresserad av att se vad som blockeras kan man ha både [BLOCK] och [AUDIT] för att se samma saker men med det senare så får man med andra saker också?

Egentligen kan väl frågan ställas enklare: kan jag vara säker på att se allt som blockeras om jag har inställningen som bara loggar [BLOCK]?

Ursäkta dröjsmålet, men jag gör ett försök till att försöka förstå detta. Är det så att både [BLOCK] och [AUDIT] loggar samma saker men att [AUDIT] också loggar inkommande (och kanske annat också)? Så om man är intresserad av att se vad som blockeras kan man ha både [BLOCK] och [AUDIT] för att se samma saker men med det senare så får man med andra saker också?

Egentligen kan väl frågan ställas enklare: kan jag vara säker på att se allt som blockeras om jag har inställningen som bara loggar [BLOCK]?

När ni skriver "regler", menar ni sådana där mer specifika regler för enskilda portar mm. eller räknas alternativet i GUFW:s huvudfönster att blockera all inkommande trafik också som en regel ("Incoming: Deny")? Jag har inte konfigurerat några egna regler utan enbart aktiverat alternativet att blockera inkommande trafik.

Jag har förresten en till fråga om det alternativet att blockera inkommande trafik, som sagt när man har ställt "Incoming" på "Deny". Om man surfar på vanliga webbsidor, räknas det som att ta emot inkommande trafik? Om jag kan göra detta utan problem, betyder det att detta alternativ i GUFW inte har någon effekt, för hur kan det i så fall vara möjligt att surfandet släpps igenom? Är det någon annan typ av inkommande trafik den här inställningen blockerar?

Och om jag då, som jag skrev, inte har några regler för inkommande, betyder det att allt stoppas då, förutom det där om "state" som du skrev om sedan? Jag blir faktiskt lite trött på detta ständiga hänvisande till regler. Jag har hela tiden skrivit att jag inte har några andra specifika regler konfigurerade så alla svar som hänvisar till "mina regler" blir rätt intetsägande.

Jag måste säga att ditt svar inte är helt enkelt att förstå för en amatör/nybörjare. Men jag tolkar det som att svaret är "ja" på frågorna jag ställde: "Om man surfar på vanliga webbsidor, räknas det som att ta emot inkommande trafik? Om jag kan göra detta utan problem, betyder det att detta alternativ i GUFW inte har någon effekt, för hur kan det i så fall vara möjligt att surfandet släpps igenom?"