UFW-loggar: fråga om inkommande trafik och [UFW AUDIT]

Trädvy Permalänk
Medlem
Registrerad
Dec 2003

UFW-loggar: fråga om inkommande trafik och [UFW AUDIT]

När jag läser loggarna i Ubuntu (syslog, kern och ufw) så finns det poster där med rubriken [UFW AUDIT]. Vad är det? Jag har sökt massor på nätet men hittar inget om vad själva funktionen är. Jag har förstått det som att dessa loggas om man har ställt in UFW på full loggning, vilket genererar enorma mängder loggad information. Men vad är det för något? Jag får en hel del inkommande trafik med rubriken [UFW AUDIT] från diverse olika IP-adresser. Någon adress verkar vara från Canonical t.ex., ser jag när jag kollar upp den.

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

När jag läser loggarna i Ubuntu (syslog, kern och ufw) så finns det poster där med rubriken [UFW AUDIT]. Vad är det? Jag har sökt massor på nätet men hittar inget om vad själva funktionen är. Jag har förstått det som att dessa loggas om man har ställt in UFW på full loggning, vilket genererar enorma mängder loggad information. Men vad är det för något? Jag får en hel del inkommande trafik med rubriken [UFW AUDIT] från diverse olika IP-adresser. Någon adress verkar vara från Canonical t.ex., ser jag när jag kollar upp den.

Nu var det ett tag sedan jag använde UFW, men om jag inte minns fel så har det med felsökning att göra.
När man slår på maximal loggning så visar den samtliga anslutningar som görs, oavsett reglerna.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av BrusE:

Nu var det ett tag sedan jag använde UFW, men om jag inte minns fel så har det med felsökning att göra.
När man slår på maximal loggning så visar den samtliga anslutningar som görs, oavsett reglerna.

Fast vad betyder det, "oavsett reglerna"? Kan det göras anslutningsförsök som inte följer reglerna?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

Fast vad betyder det, "oavsett reglerna"? Kan det göras anslutningsförsök som inte följer reglerna?

Den loggar alla anslutningar som görs. Allt.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av BrusE:

Den loggar alla anslutningar som görs. Allt.

Ledsen, men förstår inte hur du menar. Om jag har huvudinställningen att blockera all inkommande trafik och inte har några egenkonfigurerade regler som tillåter några undantag, menar du att vissa inkommande anslutningsförsök ändå kan tillåtas och att dessa då loggas?

Vad skiljer i så fall de som flaggas som [AUDIT] från de som kallas [BLOCK]?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

Ledsen, men förstår inte hur du menar. Om jag har huvudinställningen att blockera all inkommande trafik och inte har några egenkonfigurerade regler som tillåter några undantag, menar du att vissa inkommande anslutningsförsök ändå kan tillåtas och att dessa då loggas?

Vad skiljer i så fall de som flaggas som [AUDIT] från de som kallas [BLOCK]?

Det block gör är att den blockerar inkommande anslutningar.

Det AUDIT gör är att den hjälper dig att debugga en brandvägg eller en mjukvara eftersom den loggar alla anslutningsförsök.
Du kan också använda AUDIT för att se vad som träffar din brandvägg, utföra en granskning.
Man skulle kunna säga "default log all" så slipper du skriva --log.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av BrusE:

Det block gör är att den blockerar inkommande anslutningar.

Det AUDIT gör är att den hjälper dig att debugga en brandvägg eller en mjukvara eftersom den loggar alla anslutningsförsök.
Du kan också använda AUDIT för att se vad som träffar din brandvägg, utföra en granskning.
Man skulle kunna säga "default log all" så slipper du skriva --log.

Betyder det alltså att vissa anlutningsförsök släpps igenom, om de inte registreras under [BLOCK] och att man måste ha på all loggning och leta efter [AUDIT] om man ska kunna upptäcka dem?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

Betyder det alltså att vissa anlutningsförsök släpps igenom, om de inte registreras under [BLOCK] och att man måste ha på all loggning och leta efter [AUDIT] om man ska kunna upptäcka dem?

Detta har inte något med att släppa igenom. Denna loggar allt trafik som når brandväggen så att du kan granska det i efterhand.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av BrusE:

Detta har inte något med att släppa igenom. Denna loggar allt trafik som når brandväggen så att du kan granska det i efterhand.

Ursäkta min ihärdighet, men gör inte BLOCK det också? Eller loggar AUDIT det som "når" brandväggen men BLOCK loggar det som "försöker" tränga in?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

Ursäkta min ihärdighet, men gör inte BLOCK det också? Eller loggar AUDIT det som "når" brandväggen men BLOCK loggar det som "försöker" tränga in?

Block loggar endast den som blockas om du har sagt år den att logga när den blockar.
AUDIT loggar allt, både utgående och inkommande. Tänk kommando typ LOGG ALL

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av BrusE:

Block loggar endast den som blockas om du har sagt år den att logga när den blockar.
AUDIT loggar allt, både utgående och inkommande. Tänk kommando typ LOGG ALL

Ursäkta dröjsmålet, men jag gör ett försök till att försöka förstå detta. Är det så att både [BLOCK] och [AUDIT] loggar samma saker men att [AUDIT] också loggar inkommande (och kanske annat också)? Så om man är intresserad av att se vad som blockeras kan man ha både [BLOCK] och [AUDIT] för att se samma saker men med det senare så får man med andra saker också?

Egentligen kan väl frågan ställas enklare: kan jag vara säker på att se allt som blockeras om jag har inställningen som bara loggar [BLOCK]?

Trädvy Permalänk
Medlem
Plats
Stenungsund
Registrerad
Maj 2005
Skrivet av Mysterium:

Ursäkta dröjsmålet, men jag gör ett försök till att försöka förstå detta. Är det så att både [BLOCK] och [AUDIT] loggar samma saker men att [AUDIT] också loggar inkommande (och kanske annat också)? Så om man är intresserad av att se vad som blockeras kan man ha både [BLOCK] och [AUDIT] för att se samma saker men med det senare så får man med andra saker också?

Egentligen kan väl frågan ställas enklare: kan jag vara säker på att se allt som blockeras om jag har inställningen som bara loggar [BLOCK]?

BLOCK loggar allt som brandväggen är med regler ställt att blockera.

AUDIT loggar allt, inkommande anslutningar som blockeras som släpps igenom utgående anslutningar ALLT.

Såvida dina regler är korrekt uppsatta så ser jag inte varför du ens behöver logga block på en vanlig dator. Släpp enbart in den trafik du behöver.

Every mammal on this planet instinctively develops a natural equilibrium with the surrounding environment; but you humans do not. Instead you multiply, and multiply, until every resource is consumed.
There is another organism on this planet that follows the same pattern... a virus.
CITERA CITERA CITERA

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

Ursäkta dröjsmålet, men jag gör ett försök till att försöka förstå detta. Är det så att både [BLOCK] och [AUDIT] loggar samma saker men att [AUDIT] också loggar inkommande (och kanske annat också)? Så om man är intresserad av att se vad som blockeras kan man ha både [BLOCK] och [AUDIT] för att se samma saker men med det senare så får man med andra saker också?

Egentligen kan väl frågan ställas enklare: kan jag vara säker på att se allt som blockeras om jag har inställningen som bara loggar [BLOCK]?

Angående AUDIT, jag kan tyvärr inte förklara bättre än att AUDIT loggar alla anslutningar som når brandväggen.
AUDIT ska endast användas när du vill GRANSKA din anslutning för att hitta eventuella problem med dina regler.
Angående BLOCK, den loggar ENDAST det som brandväggen blockerar.

Angående din sista fråga, nej du kan inte vara helt säker att allt hinner att loggas som din brandvägg blockerar.
Prestandan i din server är styrande och hur väl du konfigurerar t.ex. rsyslog.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av mini-ryttge:

BLOCK loggar allt som brandväggen är med regler ställt att blockera.

AUDIT loggar allt, inkommande anslutningar som blockeras som släpps igenom utgående anslutningar ALLT.

Såvida dina regler är korrekt uppsatta så ser jag inte varför du ens behöver logga block på en vanlig dator. Släpp enbart in den trafik du behöver.

Skrivet av BrusE:

Angående AUDIT, jag kan tyvärr inte förklara bättre än att AUDIT loggar alla anslutningar som når brandväggen.
AUDIT ska endast användas när du vill GRANSKA din anslutning för att hitta eventuella problem med dina regler.
Angående BLOCK, den loggar ENDAST det som brandväggen blockerar.

Angående din sista fråga, nej du kan inte vara helt säker att allt hinner att loggas som din brandvägg blockerar.
Prestandan i din server är styrande och hur väl du konfigurerar t.ex. rsyslog.

När ni skriver "regler", menar ni sådana där mer specifika regler för enskilda portar mm. eller räknas alternativet i GUFW:s huvudfönster att blockera all inkommande trafik också som en regel ("Incoming: Deny")? Jag har inte konfigurerat några egna regler utan enbart aktiverat alternativet att blockera inkommande trafik.

Jag har förresten en till fråga om det alternativet att blockera inkommande trafik, som sagt när man har ställt "Incoming" på "Deny". Om man surfar på vanliga webbsidor, räknas det som att ta emot inkommande trafik? Om jag kan göra detta utan problem, betyder det att detta alternativ i GUFW inte har någon effekt, för hur kan det i så fall vara möjligt att surfandet släpps igenom? Är det någon annan typ av inkommande trafik den här inställningen blockerar?

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

När ni skriver "regler", menar ni sådana där mer specifika regler för enskilda portar mm. eller räknas alternativet i GUFW:s huvudfönster att blockera all inkommande trafik också som en regel ("Incoming: Deny")? Jag har inte konfigurerat några egna regler utan enbart aktiverat alternativet att blockera inkommande trafik.

Jag har förresten en till fråga om det alternativet att blockera inkommande trafik, som sagt när man har ställt "Incoming" på "Deny". Om man surfar på vanliga webbsidor, räknas det som att ta emot inkommande trafik? Om jag kan göra detta utan problem, betyder det att detta alternativ i GUFW inte har någon effekt, för hur kan det i så fall vara möjligt att surfandet släpps igenom? Är det någon annan typ av inkommande trafik den här inställningen blockerar?

Om du har default deny på inkommande så kommer den att kasta alla paket som inte matchar dina
regler för inkommande.

När du surfar från insidan och ut då behöver din brandvägg hålla state, dvs tillåta att enheten på internet svara
om anslutningen initierades från ditt LAN.

Om man använder sig av iptables så ser det ut på följande sätt

$IPT4 -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
$IPT4 -A OUTPUT -m state --state NEW,ESTABLISHED,RELATED -j ACCEPT

Mer information om olika state finns på följande länk
http://www.iptables.info/en/connection-state.html

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Registrerad
Dec 2003
Skrivet av BrusE:

Om du har default deny på inkommande så kommer den att kasta alla paket som inte matchar dina
regler för inkommande.

Och om jag då, som jag skrev, inte har några regler för inkommande, betyder det att allt stoppas då, förutom det där om "state" som du skrev om sedan? Jag blir faktiskt lite trött på detta ständiga hänvisande till regler. Jag har hela tiden skrivit att jag inte har några andra specifika regler konfigurerade så alla svar som hänvisar till "mina regler" blir rätt intetsägande.

Skrivet av BrusE:

När du surfar från insidan och ut då behöver din brandvägg hålla state, dvs tillåta att enheten på internet svara
om anslutningen initierades från ditt LAN.

Jag måste säga att ditt svar inte är helt enkelt att förstå för en amatör/nybörjare. Men jag tolkar det som att svaret är "ja" på frågorna jag ställde: "Om man surfar på vanliga webbsidor, räknas det som att ta emot inkommande trafik? Om jag kan göra detta utan problem, betyder det att detta alternativ i GUFW inte har någon effekt, för hur kan det i så fall vara möjligt att surfandet släpps igenom?"

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003
Skrivet av Mysterium:

Och om jag då, som jag skrev, inte har några regler för inkommande, betyder det att allt stoppas då, förutom det där om "state" som du skrev om sedan? Jag blir faktiskt lite trött på detta ständiga hänvisande till regler. Jag har hela tiden skrivit att jag inte har några andra specifika regler konfigurerade så alla svar som hänvisar till "mina regler" blir rätt intetsägande.

Du hakar upp dit på fel saker. Du behöver minst två regler för inkommande. Se nedan

## [DEFAULT POLICY INPUT IPV4, DROP]
iptables -P INPUT DROP

Denna regel kastar allt som kommer från internet. I ditt fall så kastas alla inkommande paket eftersom du inte
har några regler som tillåter anslutning från Internet till insidan.

## [DEFAULT STATES INPUT]
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT

Denna regel tillåter "svar" att komma tillbaka genom brandväggen OM anslutningen initialiserades från insidan
typ LAN. Du sitter på insidan och ansluter till en hemsida på Internet. Då håller denna regel state för sessionerna.

Skrivet av Mysterium:

Jag måste säga att ditt svar inte är helt enkelt att förstå för en amatör/nybörjare. Men jag tolkar det som att svaret är "ja" på frågorna jag ställde: "Om man surfar på vanliga webbsidor, räknas det som att ta emot inkommande trafik? Om jag kan göra detta utan problem, betyder det att detta alternativ i GUFW inte har någon effekt, för hur kan det i så fall vara möjligt att surfandet släpps igenom?"

Om du använder program som GUFW så görs saker i bakgrunder åt dig för att underlätta.
Den kanske sätter automatisk state åt tid så att du kan surfa utan att behöver göra något själv.
För att kontrollera vilka regler du har så kan du skriva

iptables -L -n

Då kommer du se allt den har gjort.

| Citera för svar! | Gilla bra inlägg! |

Trädvy Permalänk
Medlem
Plats
Stockholm
Registrerad
Dec 2003

Såhär står det i beskrivningen för GUFW

By default the firewall is configured to deny all incoming traffic and allow all outgoing traffic. These policy settings are changed using the Incoming: and Outgoing: menus located in the main gufw dialog.

Det betyder att det fungerar att surfa från LAN till Internet med inte tvärt om.

| Citera för svar! | Gilla bra inlägg! |