У меня установлен брандмауэр Shorewall на сервере Debian, который работает нормально. Я получаю различные записи журнала в / var / log / messages, когда пакеты отбрасываются, как и ожидалось, например:
Aug 17 19:09:07 cheetah kernel: [80026654.168568] Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:48:8a:5c:cc:00:04:4d:de:18:c2:08:00 SRC=123.123.123.123 DST=111.111.111.111 LEN=500 TOS=0x00 PREC=0x00 TTL=121 ID=24371 PROTO=UDP SPT=500 DPT=500 LEN=480
На моем сервере нет служб, прослушивающих порт 500. Есть много других записей, подобных этой, а также других портов назначения от людей, выполняющих сканирование портов и т. Д. (Например, людей, пытающихся подключиться к RDP на 3389 и т. Д.)
Мой вопрос: как мне предотвратить регистрацию этих отброшенных пакетов? Google не оказывает никакой помощи, и я также не могу найти ничего об этом на веб-сайте Shorewall. Я понимаю, что важно регистрировать их, чтобы знать, что происходит в моей системе, но мне также любопытно, как бы я мог предотвратить регистрацию, если бы захотел. В частности, как я могу предотвратить ведение журнала только для определенного IP-адреса И / ИЛИ порта (например, запретить ведение журнала для всех отброшенных пакетов с данного IP-адреса или запретить ведение журнала для всех отброшенных пакетов, пытающихся подключиться к определенному порту).
Ответ может заключаться в том, чтобы просто поместить явное правило DROP в / etc / shorewall / rules, которое я рассматриваю (и я предполагаю, что, поскольку правило будет согласовано, регистрация не будет происходить), но я хотел сначала изучить свои варианты здесь чтобы увидеть, что все думают.
Спасибо
Добавьте следующее правило:
DROP 123.123.123.123 111.111.111.111 udp 500
или указали опцию «черный список» в /etc/shorewall/interfaces
, и поместите следующие строки в /etc/shorewall/blacklist
:
123.123.123.123 udp 500
Также просмотрите BLACKLIST_LOGLEVEL в /etc/shorewall/shorewall.conf
.