Назад | Перейти на главную страницу

Запретить записи журнала Shorewall для определенного IP-адреса и / или порта

У меня установлен брандмауэр Shorewall на сервере Debian, который работает нормально. Я получаю различные записи журнала в / var / log / messages, когда пакеты отбрасываются, как и ожидалось, например:

Aug 17 19:09:07 cheetah kernel: [80026654.168568] Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:48:8a:5c:cc:00:04:4d:de:18:c2:08:00 SRC=123.123.123.123 DST=111.111.111.111 LEN=500 TOS=0x00 PREC=0x00 TTL=121 ID=24371 PROTO=UDP SPT=500 DPT=500 LEN=480

На моем сервере нет служб, прослушивающих порт 500. Есть много других записей, подобных этой, а также других портов назначения от людей, выполняющих сканирование портов и т. Д. (Например, людей, пытающихся подключиться к RDP на 3389 и т. Д.)

Мой вопрос: как мне предотвратить регистрацию этих отброшенных пакетов? Google не оказывает никакой помощи, и я также не могу найти ничего об этом на веб-сайте Shorewall. Я понимаю, что важно регистрировать их, чтобы знать, что происходит в моей системе, но мне также любопытно, как бы я мог предотвратить регистрацию, если бы захотел. В частности, как я могу предотвратить ведение журнала только для определенного IP-адреса И / ИЛИ порта (например, запретить ведение журнала для всех отброшенных пакетов с данного IP-адреса или запретить ведение журнала для всех отброшенных пакетов, пытающихся подключиться к определенному порту).

Ответ может заключаться в том, чтобы просто поместить явное правило DROP в / etc / shorewall / rules, которое я рассматриваю (и я предполагаю, что, поскольку правило будет согласовано, регистрация не будет происходить), но я хотел сначала изучить свои варианты здесь чтобы увидеть, что все думают.

Спасибо

Добавьте следующее правило:

DROP      123.123.123.123       111.111.111.111      udp      500

или указали опцию «черный список» в /etc/shorewall/interfaces, и поместите следующие строки в /etc/shorewall/blacklist:

123.123.123.123                       udp             500

Также просмотрите BLACKLIST_LOGLEVEL в /etc/shorewall/shorewall.conf.