最近发现我在Debian10上安装的UFW防火墙日志文件 /var/log/ufw.log 与 /var/log/syslog ,都是记录了一堆UFW BLOCK相关的日志。这些日志记录的两个IP地址都很有规律,其中一个IP是每隔1分钟,另一个IP是每个2分钟,目标地址都是DST=224.0.0.1
Oct 8 23:22:33 debian-buster kernel: [246921.975342] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:23:33 debian-buster kernel: [246981.995838] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:23:42 debian-buster kernel: [246990.780600] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:dc:fe:18:4b:36:aa:08:00 SRC=192.168.22.81 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 Oct 8 23:24:33 debian-buster kernel: [247042.006337] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:25:33 debian-buster kernel: [247102.026726] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:25:47 debian-buster kernel: [247116.224207] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:dc:fe:18:4b:36:aa:08:00 SRC=192.168.22.81 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 Oct 8 23:26:33 debian-buster kernel: [247162.047143] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:27:33 debian-buster kernel: [247222.057544] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:27:53 debian-buster kernel: [247241.667095] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:dc:fe:18:4b:36:aa:08:00 SRC=192.168.22.81 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2 Oct 8 23:28:33 debian-buster kernel: [247282.077816] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2 Oct 8 23:29:33 debian-buster kernel: [247342.098132] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.22.82 DST=224.0.0.1 LEN=28 TOS=0x00 PREC=0x00 TTL=1 ID=0 DF PROTO=2
实际上我知道这两个IP地址就是我的两个无线路由器,配置关闭了DHCP,接LAN口作为AP使用。这被Debian的UFW防火墙给拦截?而且这么频繁的写入日志也不是什么好事情,必须得解决!
因为这并不是网络攻击,源IP地址192.168.22.82与192.168.22.81是我的两个路由器的IP地址,目标地址224.0.0.1 这个地址是指所有主机的地址 (包括所有路由器地址)
找了一堆资料,通过各种测试,解决方法如下:
ufw allow in on eth0 to 224.0.0.1
/var/log/ufw.log 与 /var/log/syslog 的世界终于清静了下来。
看看我的UFW防火墙状态吧
root@debian-buster:/var/log# ufw status Status: active To Action From -- ------ ---- OpenSSH ALLOW Anywhere 80/tcp ALLOW Anywhere 443/tcp ALLOW Anywhere 224.0.0.1 on eth0 ALLOW Anywhere OpenSSH (v6) ALLOW Anywhere (v6) 80/tcp (v6) ALLOW Anywhere (v6) 443/tcp (v6) ALLOW Anywhere (v6)
如果下次我们配置了不同的路由,也许这个命令需要根据实际情况修改 in on eth0
注意我们的 /var/log/ufw.log 日志信息提示,IN=eth0,DST=224.0.0.1
[UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:ac:cb:51:be:a0:10:08:00 SRC=192.168.33.12 DST=224.0.0.1
我们就可以灵活使用了。
最后我还发现:
/var/log/messages
/var/log/kern.log
这俩日志文件都是UFW BLOCK相关的信息与ufw.log记录的一模一样!幸运的是我已经发现了,要不然呢?实际上服务器工作一切正常,如此大量的日志记录,除了损耗一些CPU与内存,还有就是固态硬盘的写入量。能发现能解决这无疑是非常大快人心的事情😂