Назад | Перейти на главную страницу

Firewalld - ведение журнала отклоненных пакетов включено - ведение журнала не выполняется

Я использую Firewalld, и зона перетаскивания является зоной по умолчанию с интерфейсом, назначенным зоне.

Затем у меня есть обширные правила, позволяющие пропускать некоторый трафик через зону перетаскивания, и я включил firewall-cmd --set-log-denied=all. Я бы подумал, что это будет регистрировать все, что пытается подключиться к серверу, что не исходит из правила богатого белого списка ... но это не будет регистрироваться. Я запустил сканирование портов на сервере, и в / var / log / messages не отображаются журналы запрещенных портов.

Однако, когда я устанавливаю зону по умолчанию как общедоступную и назначаю интерфейс как общедоступный, он регистрирует отклоненные пакеты, когда я запускаю другое сканирование порта.

Зачем?

Отличная работа, это помогло мне пойти по правильному пути, я ценю этот пост.

Единственное, что я заметил, это то, что я считаю, что место для LogDenied=all должно быть /etc/firewalld/firewalld.conf поскольку /etc/sysconfig/firewalld для параметров командной строки запуска. Кроме того, файл для rsyslog может быть лучше назван с расширением .conf, иногда операторы include по умолчанию могут не искать файл .log.

Действительно хорошая работа VanagaS!

ссылка: https://firewalld.org/documentation/man-pages/firewalld.conf.html

Проблема, похоже, связана с ошибкой, о которой говорится в комментарии. Однако для тех, у кого все еще возникают проблемы с получением журнала пакетов отказа брандмауэра, у меня сработал следующий подход:

Следующие работали с firewalld + rsyslogd

редактировать /etc/sysconfig/firewalld и обновите значение для LogDenied к all (или по мере необходимости)

LogDenied=all

перезапустить firewalld

sudo systemctl restart firewalld

В качестве альтернативы, используя командную строку, можно выполнить следующую команду:

sudo firewall-cmd --set-log-denied all

Обычно это добавляет правила ведения журнала непосредственно перед правилами отклонения / удаления в брандмауэре, например:

LOG  all  --  anywhere   anywhere  LOG level warning prefix "IN_drop_DROP: "
LOG  all  --  anywhere   anywhere  LOG level warning prefix "FINAL_REJECT: "

Создайте файл с именем /etc/rsyslog.d/custom_iptables.conf и добавьте к нему следующие утверждения:

:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop

перезапустить rsyslog

sudo systemctl restart rsyslog

Теперь отброшенные и отклоненные пакеты будут регистрироваться в /var/log/iptables.log