È possibile abilitare la registrazione in FirewallD

10

Sto eseguendo Fedora 20 e vorrei vedere cosa sta facendo il mio firewall in background. È possibile visualizzare un registro del traffico bloccato da FirewallD?

fedora  logs  firewalld 
David Armstrong
fonte

Risposte:

7

Secondo questa pagina , i log di FirewallD sono disponibili su /var/log/firewalld. Per ottenere i messaggi di debug, è necessario eseguirlo con --debugo --debug=2.

rickhg12hs
fonte
12

So che questo è un post datato, ma oggi lo stavo cercando e ho trovato tonnellate di vecchi blog che tentano di risolvere questo problema. Per il pubblico, questo aggiornamento di Red Hat dovrebbe essere più disponibile che solo agli abbonati:

Aggiornamento a firewalld-0.4.3.2-8.el7 da Errata RHSA-2016: 2597

Specifica quali pacchetti devono essere registrati

firewall-cmd --set-log-denied=<value>

il valore può essere uno di: all, unicast, broadcast, multicast o off

Fonte: https://access.redhat.com/solutions/1191593

liberteh
fonte
3
questo può anche essere impostato manualmente in/etc/firewalld/firewalld.conf
Stuart Cardall
5

Per la registrazione del traffico bloccato da firewalld, il seguente approccio ha rsyslogdfunzionato per me:

Modifica /etc/sysconfig/firewallde aggiornare il valore di LogDenieda all(o come richiesto)

LogDenied=all

riavvia firewalld

sudo systemctl restart firewalld

Questo in genere aggiunge regole di registrazione appena prima di rifiutare / eliminare le regole nel firewall, qualcosa del tipo:

LOG  all  --  anywhere   anywhere  LOG level warning prefix "IN_drop_DROP: "
LOG  all  --  anywhere   anywhere  LOG level warning prefix "FINAL_REJECT: "

Crea un file chiamato /etc/rsyslog.d/custom_iptables.conf(estensione estensione is.conf) e aggiungi le seguenti istruzioni:

:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop

riavvia rsyslog

sudo systemctl restart rsyslog

Ora i pacchetti rilasciati e rifiutati verranno registrati /var/log/iptables.log

Vanagas
fonte
⁺¹, confermo di aver visto le voci rifiutate in journalctl -f. FWIW, inizialmente, basandomi sull'altra risposta, ho fatto solo LogDenied = tutto parte, ma non era abbastanza.
Hi-Angel,
1
dato che al giorno d'oggi firewalld non utilizza iptables per impostazione predefinita, posso raccomandare di rinominare _iptables.conf_firewalld.confper ridurre la confusione?
Hi-Angel,
Ok, lo sto solo ripetendo sull'altro PC usando questa risposta e ho notato una discrepanza degna di nota: non ho /etc/sysconfigdir, invece sto modificando il /etc/firewalld/firewalld.conffile. L'ultima volta che ho usato questa risposta non l'ho notato perché LogDenied=allho usato l'altra risposta.
Hi-Angel,
4

È necessario aggiungere la riga /etc/sysconfig/firewalld
per maggiori dettagli:

FIREWALLD_ARGS=--debug=10

Quindi riavviare il firewalldservizio

sudo systemctl restart firewalld

È meglio che modificare /usr/lib/systemd/system/firewalld.service.

zlyoha
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.