ローカルマシンのUFWログにグローバルIPアドレスからのアクセスがある-自動化モジルカ

ローカルマシンのUFWログにグローバルIPアドレスからのアクセスがある

ローカルマシンのUFWログにグローバルIPアドレスからのアクセスがあるんだけど(T_T)

syslogにUFWのログが出ているとします。
以下のコマンドでグローバルIPアドレスからのアクセスログを抽出可能。

cat /var/log/syslog | \
egrep "UFW" | egrep -v "SRC=(10\.|172\.16|192\.168)"

-vオプションで、プライベートIPアドレスを除外して検索しています。

ルータを介したLANの中にいるのに、なんでグローバルIPからのアクセスがあるの(T_T)

送信元MACアドレスはLANルータ、宛先MACアドレスは自分のマシンだった。
これはLAN内のルーティングとして、ルータを介していることを示しているので問題なし。

怪しいSRC（送信元IPアドレス）は複数あったが、SPT（送信元ポート）がすべて443だった。https関連？

こちらの質問が参考になった。

原因はhttps接続の戻りパケットとのこと。戻りパケットは例外的に外部からLAN内のPCに届きますが、それはTCPのセッションが維持されている間のみ。

セッションが破棄された後、何らかの理由（遅延、再送による重複など）で戻りパケットが届いたので、それが不正な通信としてBlockされたのでは、とのこと。

こちらからのアクセス時は、SPT=ローカルマシンの適当なポート、DPT=443（相手マシンのHTTPサーバーがListenしているポート）であり、戻りパケットのポートはこれらの関係が逆転するので、「SPT=443」であることも問題ありません。

しかし参考文献の「They（これらの怪しいログ） can be safely ignored」の安心させ具合といったらないですね。かっこよすぎます。