Как извлечь исходный MAC-адрес из записи [UFW BLOCK]?

MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00можно разбить на части как

• MAC-адрес назначения (в данном случае это MAC-адрес вашей карты, так как это входящий пакет):e8:11:32:cb:d9:42

• MAC-адрес источника:54:04:a6:ba:22:f8

• EtherType:08:00

Итак, если вы хотите программно извлечь исходный MAC-адрес, вы можете сделать что-то вроде этого:

cat ufw.log | awk '{print $11}' | cut -d ':' -f7-12

Похоже, что ваши сетевые настройки могут использовать IPv6, как MAC=e8:11:32:cb:d9:42:54:04:a6:ba:22:f8:08:00и адрес IPv6, вероятно, вашего текущего сетевого подключения. Настоящий адрес MAC (Media Access Control) будет состоять только из шести групп шестнадцатеричных цифр: aa:bb:11:12:34:56.

Кассир в этом — DPT=22. Они пытаются найти открытые порты SSH. Это нормально, если у вас не открыт порт 22 (что я обычно не рекомендую). Если у вас открыт порт 22 или вам он нужен, я надеюсь, что ваша комбинация имени пользователя и пароля надежна. Вы также можете проверить что-то вродеFail2Banкоторый будет накладывать временные блокировки после ряда неудачных попыток входа в систему, включая входы по SSH.

Если вы постоянно сталкиваетесь со сканированием портов с одного и того же IP-адреса, SRC=123.129.216.39настройте правило DENYили DROPправило в UFW для этого IP-адреса.sudo ufw deny from 123.129.216.39