linux(centos8):firewalld的运行时日志配置
2023-09-14 09:01:19 时间
一,firewalld配置日志的用途:
在生产环境中,firewalld的默认配置是不记录日志
我们通过日志记录下防火墙过滤时拒绝的非法ip,
可以主动把这些有攻击性的ip加入到黑名单,
防患于未然
说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest
对应的源码可以访问这里获取: https://github.com/liuhongdi/
说明:作者:刘宏缔 邮箱: 371125307@qq.com
二,配置firewalld记录被reject包的日志
修改firewalld的配置文件
[root@blog log]# vi /etc/firewalld/firewalld.conf
设置下面一项的值:
LogDenied=all
说明:
默认值是off,即不记录被拒的包
设置为all,表示记录所有被拒的包
重启firewalld服务,使日志配置生效
[root@blog log]# systemctl restart firewalld.service
验证配置是否生效:
#--get-log-denied: 得到记录被拒日志的配置项的值
[root@blog ~]# firewall-cmd --get-log-denied
all
说明配置已生效
三,测试firewalld被拒数据包后是否记录日志
另外找一台机器,telnet到firewalld所在服务器上一个不开放的端口
[lhd@web2 ~]$ telnet 121.122.123.47 22 Trying 121.122.123.47... telnet: connect to address 121.122.123.47: No route to host
回到原服务器查看denied日志:
[root@blog ~]# dmesg | grep -i reject [11761159.473094] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00
SRC=121.122.123.87 DST=172.17.11.21 LEN=52 TOS=0x10 PREC=0x00 TTL=56 ID=45900 DF PROTO=TCP SPT=28477 DPT=22
WINDOW=14600 RES=0x00 SYN URGP=0 ...
可以看到未连接成功的请求也被记录下来了
说明:如果是ecs外部有云服务的防火墙,请求到不了主机则不会记录失败的请求
四,配置firewalld的运行时日志到指定的文件:
1,创建firewalld的运行时日志文件
[root@blog log]# vi /etc/rsyslog.d/firewalld.conf
内容:指定日志的路径
kern.* /var/log/firewalld.log
2,配置日志的滚动
[root@blog log]# vi /etc/logrotate.d/syslog
内容:把上面指定的firewalld.log加入进去即可
/var/log/cron /var/log/maillog /var/log/messages /var/log/secure /var/log/firewalld.log /var/log/spooler { missingok sharedscripts postrotate /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true endscript }
3,修改完成后重启rsyslog服务
[root@blog rsyslog.d]# systemctl restart rsyslog.service
4,查看日志:
[root@blog log]# more /var/log/firewalld.log May 25 17:01:15 blog kernel: FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00
SRC=93.235.100.170 DST=172.17.11.21 LEN=44 TOS=0x14 PREC=0x00 TTL=241 ID=54321 PROTO=TCP SPT=58690 DPT=22
WINDOW=65535 RES=0x00 SYN URGP=0 ...
可以发现有对22端口的试探
因为firewalld未开放22端口,所以被拒绝的同时记录到了日志
五,找出被防火墙拒绝的最多的20个IP
#FINAL_REJECT:是被拒绝请求的日志中的标志字串
[root@blog log]# grep 'FINAL_REJECT:' /var/log/firewalld.log | awk '{print $10}' | sort -n | uniq -c | sort -k1nr | head -10 10 SRC=43.243.12.116 1 SRC=189.203.131.96 1 SRC=85.209.0.101 1 SRC=87.251.74.50
...
六,查看firewalld的版本
[root@blog log]# firewall-cmd --version 0.6.3
说明;服务端程序firewalld没有打印版本的选项,使用客户端程序firewall-cmd即可
七,查看centos的版本
[root@blog log]# cat /etc/redhat-release CentOS Linux release 8.0.1905 (Core)
相关文章
- Linux jdk安装及环境变量配置教程(jdk-8u144-linux-x64.tar.gz)
- 配置Linux双网卡配置指南(linux下双网卡)
- 国内Linux系统排行榜分析(国内linux系统排名)
- Linux下配置域名:让我们重新上路(linux下配置域名)
- 嵌入式Linux:驾驭自主之路(嵌入式linux下载)
- Linux邮件系统:简明扼要的使用指南(linux邮件系统)
- Linux 实现 Win7 操作系统重装(linux重装win7)
- 机驱动Linux内核支持打印机驱动安装与使用(linux内核打印)
- 器技术Linux桌面显示器:解锁先进的显示技术(linux桌面显示)
- Linux防火墙iptables学习笔记(四)iptables实现NAT
- Linux系统编码修改简单易懂教程(linux系统编码修改)
- Linux环境变量配置指南,搞定配置问题!(linux下环境变量配置)
- Linux下如何安装ADT?简单步骤分享(linux安装adt)
- 简单易懂,轻松安装Linux系统到开发板(开发板安装linux)
- 阿里云上快速搭建Linux开发环境(阿里云linux配置环境)
- Exploring the Power of Linux: A StepbyStep Guide to Viewing Configurations(linux查看配置)
- 从MAC到Linux:开发新视角(mac开发linux)
- Linux下操作MPC 求打开封闭的新世界(mpc linux)
- Linux文件名命名规则:揭秘(linux命名规则)
- Linux系统电视,让你足不出户观看影视(linux系统电视软件)
- Linux文件名大小写不敏感(linux文件名小写)
- Linux文件快速定位:让你只用一条命令就可以找到它们(linux文件定位命令)