ローカルマシンのUFWログにグローバルIPアドレスからのアクセスがある

2021/10/10

UNIX

t f B! P L

ローカルマシンのUFWログにグローバルIPアドレスからのアクセスがある

ローカルマシンのUFWログにグローバルIPアドレスからのアクセスがあるんだけど(T_T)

syslogにUFWのログが出ているとします。
以下のコマンドでグローバルIPアドレスからのアクセスログを抽出可能。

cat /var/log/syslog | \
egrep "UFW" | egrep -v "SRC=(10\.|172\.16|192\.168)"

-vオプションで、プライベートIPアドレスを除外して検索しています。

ルータを介したLANの中にいるのに、なんでグローバルIPからのアクセスがあるの(T_T)

送信元MACアドレスはLANルータ、宛先MACアドレスは自分のマシンだった。
これはLAN内のルーティングとして、ルータを介していることを示しているので問題なし。

怪しいSRC(送信元IPアドレス)は複数あったが、SPT(送信元ポート)がすべて443だった。https関連?

問題なさそう

https://superuser.com/questions/444583/opening-firewall-to-incoming-port-443

こちらの質問が参考になった。

原因はhttps接続の戻りパケットとのこと。戻りパケットは例外的に外部からLAN内のPCに届きますが、それはTCPのセッションが維持されている間のみ。

セッションが破棄された後、何らかの理由(遅延、再送による重複など)で戻りパケットが届いたので、それが不正な通信としてBlockされたのでは、とのこと。

こちらからのアクセス時は、SPT=ローカルマシンの適当なポート、DPT=443(相手マシンのHTTPサーバーがListenしているポート)であり、戻りパケットのポートはこれらの関係が逆転するので、「SPT=443」であることも問題ありません。

しかし参考文献の「They(これらの怪しいログ) can be safely ignored」の安心させ具合といったらないですね。かっこよすぎます。

このブログを検索

QooQ