【云服务器安全相关】服务器防火墙常见系统日志信息说明-EW帮帮网

✅ 一、防火墙日志是做什么的？

服务器防火墙日志记录了系统对网络访问行为的处理结果，例如哪些连接被允许、哪些被拒绝、被拦截的原因是什么。

用途包括：

日志示例	含义	中文解释
`ACCEPT` / `ALLOW`	允许连接	防火墙规则允许这条流量通过
`DROP` / `DENY` / `REJECT`	拒绝访问	防火墙拒绝了该连接请求
`BLOCKED` / `UFW BLOCK`	被阻断	Linux 的 UFW 拦截了不符合规则的流量
`SRC=` / `DST=`	来源 / 目的 IP	分别表示流量来源和目标的 IP 地址
`SPT=` / `DPT=`	来源 / 目的端口	SPT: Source Port，DPT: Destination Port
`PROTO=`	协议类型	TCP、UDP、ICMP 等
`REASON=`	拦截原因	通常是“端口未开放”“协议不符”等说明
`Invalid Packet`	无效数据包	可能是攻击流量、协议构造错误或伪造数据包

Jun 10 15:12:01 firewall: IN=eth0 OUT= MAC=... SRC=203.0.113.1 DST=10.0.0.5 PROTO=TCP SPT=34567 DPT=22 ACTION=DROP

含义：来自公网 IP 203.0.113.1 想访问你内网服务器的 22 端口（SSH），但被防火墙阻断。

🔒 常见于：爆破 SSH 密码、扫描端口、非法连接尝试。

Jul 01 08:35:44 iptables: ACCEPT IN=eth0 OUT= MAC=... SRC=10.0.0.100 DST=10.0.0.5 PROTO=TCP SPT=443 DPT=8080

含义：内网某服务访问你服务器的 8080 端口，防火墙规则允许此连接。

Firewall: Dropped UDP packet from 8.8.8.8 to port 12345 - Port not open

含义：Google DNS 8.8.8.8 试图访问你的 UDP 端口 12345，但这个端口没开放。

🔍 常见于：UDP 扫描、DDOS 探测。

Jun 5 12:11:10 firewall: Detected TCP Port Scan from 198.51.100.12

含义：攻击者尝试快速连接多个端口，防火墙识别为端口扫描行为。

🛡️ 建议：添加 IP 黑名单或配合 IDS 联动拦截。

防火墙日志是你了解服务器是否“被盯上”的第一信号，通过观察日志中 DROP、SCAN、INVALID 等信息，你可以及时发现攻击苗头并加强防护。