标签：log -- firewalld 防火墙 blog ff 日志

firewalld命令

查看防火墙规则：

firewall-cmd --list-all

开放10.11访问

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.11/32"   accept"     

开放10.11访问端口22

firewall-cmd --permanent --add-rich-rule="rule family="ipv4" source address="192.168.10.11"  port port=22 protocol=tcp accept" 

重新载入

firewall-cmd --reload

firewalld配置日志

一，用途:

在生产环境中，firewalld的默认配置是不记录日志

我们通过日志记录下防火墙过滤时拒绝的非法ip,

可以主动把这些有攻击性的ip加入到黑名单，

防患于未然

二，配置firewalld记录被reject包的日志:

修改firewalld的配置文件

[root@blog log]# vi /etc/firewalld/firewalld.conf

设置下面一项的值:

LogDenied=all

说明：

默认值是off,即不记录被拒的包

设置为all,表示记录所有被拒的包

重启firewalld服务，使日志配置生效

[root@blog log]# systemctl restart firewalld.service 

验证配置是否生效:

--get-log-denied: 得到记录被拒日志的配置项的值

[root@blog ~]# firewall-cmd --get-log-denied
all

说明配置已生效

三，测试firewalld被拒数据包后是否记录日志

另外找一台机器，telnet到firewalld所在服务器上一个不开放的端口

[lhd@web2 ~]$ telnet 121.122.123.47 22
Trying 121.122.123.47...
telnet: connect to address 121.122.123.47: No route to host

回到原服务器查看denied日志:

[root@blog ~]# dmesg | grep -i reject
[11761159.473094] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00 SRC=121.122.123.87 DST=172.17.11.21 LEN=52 TOS=0x10 PREC=0x00 TTL=56 ID=45900 DF PROTO=TCP SPT=28477 DPT=22 WINDOW=14600 RES=0x00 SYN URGP=0
...

可以看到未连接成功的请求也被记录下来了

说明：如果是ecs外部有云服务的防火墙，请求到不了主机则不会记录失败的请求

四，配置firewalld的运行时日志到指定的文件:

1,创建firewalld的运行时日志文件

[root@blog log]# vi /etc/rsyslog.d/firewalld.conf

内容：指定日志的路径

kern.* /var/log/firewalld.log

2，配置日志的滚动

[root@blog log]# vi /etc/logrotate.d/syslog

内容：把上面指定的firewalld.log加入进去即可

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/firewalld.log
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
    endscript
}

3，修改完成后重启rsyslog服务

[root@blog rsyslog.d]# systemctl restart rsyslog.service

4，查看日志:

[root@blog log]# more /var/log/firewalld.log
May 25 17:01:15 blog kernel: FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00 SRC=93.235.100.170 DST=172.17.11.21 LEN=44 TOS=0x14 PREC=0x00 TTL=241 ID=54321 PROTO=TCP SPT=58690 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
...

可以发现有对22端口的试探

因为firewalld未开放22端口，所以被拒绝的同时记录到了日志

标签：log,--,firewalld,防火墙,blog,ff,日志
来源： https://www.cnblogs.com/heer22/p/16160752.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。