一,firewalld配置日志的用途:
在生产环境中,firewalld的默认配置是不记录日志,我们通过日志记录下防火墙过滤时拒绝的非法ip,可以主动把这些有攻击性的ip加入到黑名单,防患于未然
二,配置firewalld记录被reject包的日志
修改firewalld的配置文件
[root@blog log]# vi /etc/firewalld/firewalld.conf
设置下面一项的值:
LogDenied=all
说明:
默认值是off,即不记录被拒的,设置为all,表示记录所有被拒的,firewalld服务,使日志配置生效
[root@blog log]# systemctl restart firewalld.service
验证配置是否生效:
#--get-log-denied: 得到记录被拒日志的配置项的值
[root@blog ~]# firewall-cmd --get-log-denied
all
说明配置已生效
三,测试firewalld被拒数据包后是否记录日志
另外找一台机器,telnet到firewalld所在服务器上一个不开放的端口
[lhd@web2 ~]$ telnet 121.122.123.47 22Trying 121.122.123.47...
telnet: connect to address 121.122.123.47: No route to host
回到原服务器查看denied日志:
[root@blog ~]# dmesg | grep -i reject
[11761159.473094] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00
SRC=121.122.123.87 DST=172.17.11.21 LEN=52 TOS=0x10 PREC=0x00 TTL=56 ID=45900 DF PROTO=TCP SPT=28477 DPT=22
WINDOW=14600 RES=0x00 SYN URGP=0...
拒缴可以看到未连接成功的请求也被记录下来了