Đăng nhập có thể được kích hoạt trong FirewallD


10

Tôi đang chạy Fedora 20 và muốn xem tường lửa của tôi đang làm gì trong nền. Có thể xem nhật ký lưu lượng bị chặn bởi FirewallD không?

Câu trả lời:


7

Theo trang này , nhật ký FirewallD đang ở /var/log/firewalld. Để nhận thông báo gỡ lỗi, bạn cần chạy nó với --debughoặc --debug=2.


12

Tôi biết đây là một bài viết ngày, nhưng tôi đã tìm kiếm nó ngày hôm nay, và đã tìm thấy vô số blog cũ cố gắng giải quyết vấn đề này. Đối với công chúng, bản cập nhật này từ Red Hat nên có sẵn nhiều hơn chỉ dành cho người đăng ký:

Nâng cấp lên tường lửa-0.4.3.2-8.el7 từ Errata RHSA-2016: 2597

Chỉ định gói nào sẽ được ghi lại

firewall-cmd --set-log-denied=<value>

giá trị có thể là một trong: tất cả, unicast, quảng bá, phát đa hướng hoặc tắt

Nguồn: https://access.redhat.com/solutions/1191593


3
điều này cũng có thể được đặt thủ công trong/etc/firewalld/firewalld.conf
Stuart Cardall

5

Để ghi lại lưu lượng truy cập bị chặn bởi firewalld, cách tiếp cận sau đây có rsyslogdhiệu quả với tôi:

Chỉnh sửa /etc/sysconfig/firewalldvà cập nhật giá trị cho LogDeniedđến all(hoặc theo yêu cầu)

LogDenied=all

khởi động lại tường lửa

sudo systemctl restart firewalld

Điều này thường thêm quy tắc ghi nhật ký ngay trước khi từ chối / thả quy tắc trong tường lửa, đại loại như:

LOG  all  --  anywhere   anywhere  LOG level warning prefix "IN_drop_DROP: "
LOG  all  --  anywhere   anywhere  LOG level warning prefix "FINAL_REJECT: "

Tạo một tệp có tên /etc/rsyslog.d/custom_iptables.conf(phần mở rộng ghi chú is.conf) và thêm các câu lệnh sau vào đó:

:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop

khởi động lại rsyslog

sudo systemctl restart rsyslog   

Bây giờ các gói bị loại bỏ và bị từ chối sẽ được đăng nhập vào /var/log/iptables.log


, Tôi xác nhận đã thấy các mục bị từ chối trong journalctl -f. FWIW, ban đầu, dựa trên câu trả lời khác, tôi chỉ thực hiện LogDenied = tất cả các phần, nhưng nó không đủ.
Hi-Angel

1
vì hiện tại tường lửa không sử dụng iptables theo mặc định, tôi có thể đề nghị đổi tên _iptables.conf_firewalld.confđể giảm bớt sự nhầm lẫn không?
Hi-Angel

Ok, tôi chỉ làm lại điều này trên PC khác bằng câu trả lời này và tôi lưu ý một điểm khác biệt đáng nói: Tôi không có /etc/sysconfigthư mục, thay vào đó tôi đang chỉnh sửa /etc/firewalld/firewalld.conftệp. Tôi đã không nhận thấy nó lần cuối cùng tôi sử dụng câu trả lời này bởi vì LogDenied=alltôi đã sử dụng câu trả lời khác.
Hi-Angel

4

Bạn cần nối thêm dòng /etc/sysconfig/firewalld
để biết chi tiết tối đa:

FIREWALLD_ARGS=--debug=10

Sau đó khởi động lại firewallddịch vụ

sudo systemctl restart firewalld

Nó tốt hơn là chỉnh sửa /usr/lib/systemd/system/firewalld.service.

Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.