查看防火墙日志状态
Firewalld 的 logdenied 选项默认情况下只会记录被拒绝的数据包,即 REJECT 类型的日志。这是因为 logdenied 选项主要用于记录被防火墙拒绝的数据包,以便进行审计和故障排除。
// firewalld 防火墙的日志默认不开启。
cat /etc/firewalld/firewalld.conf 或
firewall-cmd --get-log-denied ## 默认为off
开启防火墙日志记录
// 直接修改firewalld.conf文件或执行如下命令
firewall-cmd --set-log-denied=unicast --permanent
firewall-cmd --reload
//denied参数
all: 表示记录所有被拒绝的访问,无论是单播、组播还是广播。
unicast: 表示记录被拒绝的单播访问。
broadcast: 表示记录被拒绝的广播访问。
multicast: 表示记录被拒绝的组播访问。
off: 表示关闭所有类型的被拒绝访问的日志记录。
完成配置后,日志默认记录在/var/log/messages 文件中
// 查看拒绝访问日志
dmesg --| grep -i reject
通过rsyslog捕获日志,将防火墙日志单独保存
在/etc/rsyslog.d/ 目录下创建一个 firewalld.conf 配置如下:
:msg,contains,"_DROP" /var/log/firewalld.log
& stop
:msg,contains,"_REJECT" /var/log/firewalld.log
& stop
重启rsyslog服务,查看 /var/log/firewalld.log 日志记录内容
//重启 rsyslog服务
systemctl restart rsyslog
拒绝访问日志
参数含义如下:
FINAL_REJECT: 表示该数据包最终被拒绝(被阻止通过)。
IN=ens192: 数据包从 ens192 网络接口进入系统。
OUT=:没有指定输出接口,可能是广播或组播。
MAC=ff:ff:ff:ff:ff:ff:00:50:56:84:2f:00:08:00: 数据包的源和目的 MAC 地址。
SRC=172.18.130.136: 数据包的源 IP 地址是 172.18.130.136。
DST=172.18.130.255: 数据包的目的 IP 地址是 172.18.130.255。
LEN=229: 数据包的总长度为 229 字节。
TOS=0x00: 服务类型字段,指定数据包的服务类型。
PREC=0x00: 包含了源主机对数据包的重要性和可靠性要求。
TTL=128: 数据包的生存时间(Time to Live),每经过一个路由器减1,直到变为0。
ID=27277: 数据包的唯一标识符。
PROTO=UDP: 数据包使用的协议是 UDP。
SPT=138: 源端口号是 138。
DPT=138: 目的端口号是 138。
LEN=209: 数据包有效负载的长度为 209 字节。