Почему я получаю много журналов [UFW_BLOCK] для IP-адресов клиентов и коммутаторов?
У меня есть сервер базы данных MariaDB, который является узлом моего кластера Galera, и когда я смотрю файл /var/log/ufw.log, я вижу много журналов UFW_BLOCK для IP-адресов клиентов, которые были подключены к базе данных и успешно выполнили операции. Я также подключаюсь к базе данных со своего компьютера и вижу, что мой IP-адрес также зарегистрирован как UFW_BLOCK, но у меня не было ошибок или каких-либо других прерываний во время моих подключений к базе данных. Я также видел некоторые IP-адреса, зарегистрированные с UFW_BLOCK, которых я не знаю. Когда я искал и проверял эти IP-адреса, я видел, что это были IP-адреса коммутаторов локальной сети. Почему так происходит и что мне делать? Делает ли эта ситуация проблему? Должен ли я разрешать эти IP-адреса в iptables?
Пример журнала здесь:
Mar 3 12:14:47 DB-Srv1 kernel: [6300510.451352] [UFW BLOCK] IN=ens160 OUT= Mac=xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx:xx SRC=xx.xx.85.222 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x00 TTL=1 ID=19898 PROTO=2
1 ответ
Для TCP-соединений Linux обычно использует «полудуплексную» последовательность закрытия, когда любая сторона сеанса может инициировать завершение соединения с помощью одного двустороннего рукопожатия FIN-ACK (которое переводит соединение в состояние CLOSE_WAIT) вместо полного 4-стороннее рукопожатие FIN-ACK. С маршрутизатором между ними это часто приводит к тому, что один конец забывает о соединении раньше другого, что приводит к сообщениям UFW_BLOCK, которые вы наблюдаете.
Вы не привели ни одного примера, поэтому этот ответ не является точным. Посмотрите на флаги TCP в своих записях журнала, чтобы увидеть, связаны ли они с завершением сеанса. Или отредактируйте свой вопрос, добавив несколько примеров.
РЕДАКТИРОВАТЬ:
Приведенный пример записи журнала представляет собой многоадресный пакет. Совершенно не связанный ни с одним из ваших полезных клиентских пакетов.
Вы также можете наблюдать пакеты, к которым относится мой первоначальный ответ.