У меня есть сервер CentOS 7 в локальной сети вместе с машинами Windows.
Я включил регистрацию в iptables пакетов, подлежащих отклонению или отбрасыванию, используя
firewall-cmd --set-log-denied=all
Это добавляет соответствующие правила ведения журнала iptables. Например, в конце цепочки FORWARD:
LOG all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID LOG flags 0 level 4 prefix "STATE_INVALID_DROP: "
DROP all -- 0.0.0.0/0 0.0.0.0/0 ctstate INVALID
LOG all -- 0.0.0.0/0 0.0.0.0/0 LOG flags 0 level 4 prefix "FINAL_REJECT: "
REJECT all -- 0.0.0.0/0 0.0.0.0/0 reject-with icmp-host-prohibited
Однако теперь в журнале ядра (или, скорее, в журнале) регистрируется множество отклоненных пакетов с разных машин с Windows, точнее, широковещательные рассылки NetBIOS (UDP на порт 137 и 138 на широковещательном адресе подсети), которые не интересуют ни одна служба в Linux. в.
Я хочу просто отбросить эти пакеты без лишних слов, даже до того, как они будут зарегистрированы.
FINAL_REJECT: IN=ens160 OUT= MAC=ff:ff:ff:ff:ff:ff:XX:XX:XX:XX:XX:XX:08:00 SRC=10.10.2.74 DST=10.10.2.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=32306 PROTO=UDP SPT=137 DPT=137 LEN=58
Что firewall-cmd
сделать это правильно?
Вместо того, чтобы регистрировать каждый отброшенный пакет, вы можете настроить firewalld так, чтобы он не регистрировал широковещательные или многоадресные пакеты, такие как тот, который вы указали в качестве примера в своем вопросе.
Для этого используйте --set-log-denied=unicast
.
firewall-cmd --set-log-denied=unicast
Теперь журналы будут содержать только запрещенный трафик, который был направлен на ваш хост.
На странице руководства:
--set-log-denied = значение
Добавьте правила регистрации прямо перед правилами отклонения и отбрасывания в цепочках INPUT, FORWARD и OUTPUT для правил по умолчанию, а также окончательные правила отклонения и отбрасывания в зонах для настроенного типа пакета канального уровня. Возможные значения: все, одноадресная передача, трансляция, многоадресная передача и выключен. По умолчанию установлено выключен, что отключает ведение журнала.Это постоянное и постоянное изменение, которое также перезагрузит брандмауэр, чтобы иметь возможность добавлять правила ведения журнала.