Sto eseguendo Fedora 20 e vorrei vedere cosa sta facendo il mio firewall in background. È possibile visualizzare un registro del traffico bloccato da FirewallD?
Sto eseguendo Fedora 20 e vorrei vedere cosa sta facendo il mio firewall in background. È possibile visualizzare un registro del traffico bloccato da FirewallD?
Risposte:
Secondo questa pagina , i log di FirewallD sono disponibili su /var/log/firewalld
. Per ottenere i messaggi di debug, è necessario eseguirlo con --debug
o --debug=2
.
So che questo è un post datato, ma oggi lo stavo cercando e ho trovato tonnellate di vecchi blog che tentano di risolvere questo problema. Per il pubblico, questo aggiornamento di Red Hat dovrebbe essere più disponibile che solo agli abbonati:
Aggiornamento a firewalld-0.4.3.2-8.el7 da Errata RHSA-2016: 2597
Specifica quali pacchetti devono essere registrati
firewall-cmd --set-log-denied=<value>
il valore può essere uno di: all, unicast, broadcast, multicast o off
Per la registrazione del traffico bloccato da firewalld
, il seguente approccio ha rsyslogd
funzionato per me:
Modifica /etc/sysconfig/firewalld
e aggiornare il valore di LogDenied
a all
(o come richiesto)
LogDenied=all
riavvia firewalld
sudo systemctl restart firewalld
Questo in genere aggiunge regole di registrazione appena prima di rifiutare / eliminare le regole nel firewall, qualcosa del tipo:
LOG all -- anywhere anywhere LOG level warning prefix "IN_drop_DROP: "
LOG all -- anywhere anywhere LOG level warning prefix "FINAL_REJECT: "
Crea un file chiamato /etc/rsyslog.d/custom_iptables.conf
(estensione estensione is.conf) e aggiungi le seguenti istruzioni:
:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop
riavvia rsyslog
sudo systemctl restart rsyslog
Ora i pacchetti rilasciati e rifiutati verranno registrati /var/log/iptables.log
journalctl -f
. FWIW, inizialmente, basandomi sull'altra risposta, ho fatto solo LogDenied = tutto parte, ma non era abbastanza.
_iptables.conf
→ _firewalld.conf
per ridurre la confusione?
/etc/sysconfig
dir, invece sto modificando il /etc/firewalld/firewalld.conf
file. L'ultima volta che ho usato questa risposta non l'ho notato perché LogDenied=all
ho usato l'altra risposta.
/etc/firewalld/firewalld.conf