firewalld的运行时日志配置

最新推荐文章于 2024-06-07 09:02:26 发布
最新推荐文章于 2024-06-07 09:02:26 发布
阅读量2.5k 收藏 2
点赞数
分类专栏: linux 文章标签: 网络协议 服务器 网络
原文链接:https://www.cnblogs.com/architectforest/p/12960368.html
版权

linux(centos8):firewalld的运行时日志配置

一,firewalld配置日志的用途:

在生产环境中,firewalld的默认配置是不记录日志

我们通过日志记录下防火墙过滤时拒绝的非法ip,

可以主动把这些有攻击性的ip加入到黑名单,

防患于未然

说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest

​ 对应的源码可以访问这里获取: https://github.com/liuhongdi/

说明:作者:刘宏缔 邮箱: 371125307@qq.com

二,配置firewalld记录被reject包的日志

修改firewalld的配置文件

[root@blog log]# vi /etc/firewalld/firewalld.conf

设置下面一项的值:

LogDenied=all

说明:

默认值是off,即不记录被拒的包

设置为all,表示记录所有被拒的包

重启firewalld服务,使日志配置生效

[root@blog log]# systemctl restart firewalld.service

验证配置是否生效:

#–get-log-denied: 得到记录被拒日志的配置项的值

[root@blog ~]# firewall-cmd --get-log-denied
all

说明配置已生效

三,测试firewalld被拒数据包后是否记录日志

另外找一台机器,telnet到firewalld所在服务器上一个不开放的端口

[lhd@web2 ~]$ telnet 121.122.123.47 22
Trying 121.122.123.47...
telnet: connect to address 121.122.123.47: No route to host

回到原服务器查看denied日志:

[root@blog ~]# dmesg | grep -i reject
[11761159.473094] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00 SRC=121.122.123.87 DST=172.17.11.21 LEN=52 TOS=0x10 PREC=0x00 TTL=56 ID=45900 DF PROTO=TCP SPT=28477 DPT=22 WINDOW=14600 RES=0x00 SYN URGP=0
...

可以看到未连接成功的请求也被记录下来了

说明:如果是ecs外部有云服务的防火墙,请求到不了主机则不会记录失败的请求

四,配置firewalld的运行时日志到指定的文件:

1,创建firewalld的运行时日志文件

[root@blog log]# vi /etc/rsyslog.d/firewalld.conf

内容:指定日志的路径

kern.* /var/log/firewalld.log

2,配置日志的滚动

[root@blog log]# vi /etc/logrotate.d/syslog

内容:把上面指定的firewalld.log加入进去即可

[复制代码](javascript:void(0)😉

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/firewalld.log
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
    endscript
}

[复制代码](javascript:void(0)😉

3,修改完成后重启rsyslog服务

[root@blog rsyslog.d]# systemctl restart rsyslog.service

4,查看日志:

[root@blog log]# more /var/log/firewalld.log
May 25 17:01:15 blog kernel: FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00 SRC=93.235.100.170 DST=172.17.11.21 LEN=44 TOS=0x14 PREC=0x00 TTL=241 ID=54321 PROTO=TCP SPT=58690 DPT=22 WINDOW=65535 RES=0x00 SYN URGP=0 
...

可以发现有对22端口的试探

因为firewalld未开放22端口,所以被拒绝的同时记录到了日志

五,找出被防火墙拒绝的最多的20个IP

#FINAL_REJECT:是被拒绝请求的日志中的标志字串

[复制代码](javascript:void(0)😉

[root@blog log]# grep 'FINAL_REJECT:' /var/log/firewalld.log | awk '{print $10}' | sort -n | uniq -c | sort -k1nr | head -10
     10 SRC=43.243.12.116
      1 SRC=189.203.131.96
      1 SRC=85.209.0.101
      1 SRC=87.251.74.50      ...

[复制代码](javascript:void(0)😉

六,查看firewalld的版本

[root@blog log]# firewall-cmd --version
0.6.3

说明;服务端程序firewalld没有打印版本的选项,使用客户端程序firewall-cmd即可

七,查看centos的版本

[root@blog log]# cat /etc/redhat-release
CentOS Linux release 8.0.1905 (Core) 
ewall-cmd --version
0.6.3

说明;服务端程序firewalld没有打印版本的选项,使用客户端程序firewall-cmd即可

七,查看centos的版本

[root@blog log]# cat /etc/redhat-release
CentOS Linux release 8.0.1905 (Core)
bckBCK
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
firewall记录
lbyyy的专栏
07-27 598
firewall cmd do
Firewalld Reload命令及日志操作示例
最新发布
Leon_Jinhai_Sun的博客
06-18 204
Firewalld Reload命令及日志操作示例
使用firewall-cmd查询端口状态并记录日志
Leon_Jinhai_Sun的博客
06-07 278
使用firewall-cmd查询端口状态并记录日志
Linux开启Firewalld防火墙日志记录(学习笔记)
cc__niu的博客
12-07 1614
Firewalld 的 logdenied 选项默认情况下只会记录被拒绝的数据包,即 REJECT 类型的日志。这是因为 logdenied 选项主要用于记录被防火墙拒绝的数据包,以便进行审计和故障排除。
linux firewall日志,linux系统日志
weixin_39534321的博客
05-10 312
一、 日志简介Linux保存了系统中所发生事件的详细记录,这些记录称作日志文件或消息文件。可以查阅日志文件来确定系统当前状态,观察***者踪迹,寻找某特定程序(或事件)相关的数据。centos6使用rsyslog替代syslog记录日志rsyslog 的日志文件位于 /etc/rsyslog.conf 文件中 #开头为注释 主要包括几大部分:#### MODULES #### 表示系统加载的模块1...
Linux查看防火墙日志
m0_46665077的博客
04-23 8669
Linux查看防火墙日志 CentOS系统查询防火墙日志
ELK日志分析系统配置方法.doc
05-09
- 在所有服务器上关闭防火墙和Selinux以简化配置:`systemctl stop firewalld` 和 `setenforce 0`。 - 更改主机名:在node1和node2上使用`hostnamectl set-hostname`命令。 - 添加hosts文件映射,以便服务器之间...
linux服务器基本安全配置手册
09-15
Linux服务器的基本安全配置是保障系统稳定运行和数据安全的关键步骤。在搭建Linux服务器时,我们需要关注多个方面以增强系统的安全性。以下是一份基于RHEL/CentOS 4、5的Linux服务器安全配置手册的主要内容: 1. **...
基线检查脚本Apache配置规范_(Linux).zip
10-08
它可能详细解释了如何运行这两个脚本,以及它们将检查哪些具体配置项,如何解读检查结果,以及在发现不合规项时应如何修复。 基线检查涉及的主要知识点包括: 1. **Apache配置基础**:了解Apache的配置文件(如...
CentOS 7中 Apache Web 服务器安装配置教程
09-15
在实际应用中,你可能需要配置更多高级功能,如虚拟主机、HTTPS支持、日志记录、限速和安全设置等。例如,配置虚拟主机可以让一个Apache服务器托管多个独立的网站,这可以通过在`/etc/httpd/conf.d`目录下创建新的...
CentOS6.5-LAMP配置
11-22
1. **防火墙设置**:确保防火墙允许Apache的HTTP和HTTPS端口(80和443)通过,使用`iptables`或`firewalld`进行配置。 2. **安全优化**:限制对Apache的目录浏览,编辑`/etc/httpd/conf/httpd.conf`,取消`Options ...
Linux学习日志第十二天firewalld
u013965752的博客
12-03 199
终端管理工具 第2章在讲解Linux命令时曾经听到,命令行终端是一种极富效率的工作方式,firewall-cmd是firewalld防火墙配置管理工具的CLI(命令行界面)版本。它的参数一般都是以“长格式”来提供的,大家不要一听到长格式就头大,因为RHEL 7系统支持部分命令的参数补齐,其中就包含这条命令(很酷吧)。也就是说,现在除了能用Tab键自动补齐命令或文件名等内容之外,还可以用Tab键来...
Linux系统firewalld防火墙的进阶操作(日志保存 IP网段 ssh服务)
小康师兄
08-16 1688
Linux系统firewalld防火墙的进阶操作(日志保存 IP网段 ssh服务)
Linux7查看防火墙日志,linux(centos8):firewalld运行时日志配置
weixin_36280492的博客
05-02 4991
一,firewalld配置日志的用途:在生产环境中,firewalld的默认配置是不记录日志我们通过日志记录下防火墙过滤时拒绝的非法ip,可以主动把这些有攻击性的ip加入到黑名单,防患于未然说明:作者:刘宏缔 邮箱: 371125307@qq.com二,配置firewalld记录被reject包的日志修改firewalld配置文件[root@blog log]# vi /etc/firewall...
centos 对某ip开放 防火墙端口_CentOS操作系统防火墙Firewalld记录日志及用途
weixin_35749545的博客
12-23 300
CENTOS FIREWALLD防火墙学习笔记(九)- Firewalld配置记录日志及用途CentOS操作系统中Firewalld防火墙默认是不记录日志的,如果服务器性能允许,可以通过修改配置文件,使Firewalld防火墙记录日志,这样我们可以通过防火墙记录的日志,查询过滤拒绝的非法ip,把这些ip放入到黑名单中。修改配置文件:/etc/firewalld/firewalld.conf修改为:...
firewalld记录被拒绝的连接请求
11-02 948
一,firewalld配置日志的用途: 在生产环境中,firewalld的默认配置是不记录日志,我们通过日志记录下防火墙过滤时拒绝的非法ip,可以主动把这些有攻击性的ip加入到黑名单,防患于未然 二,配置firewalld记录被reject包的日志 修改firewalld配置文件 [root@blog log]#vi /etc/firewalld/firewalld.conf 设置下面一项的值: LogDenied=all 说明: 默认值是off,即不记录被拒的,设置为all,表示..
CentOS7 启动 firewalld 防火墙失败,查看日志提示超时
拾级而上
12-10 3747
问题描述 启动 firewalld systemctl start firewalld 时命令卡住不动不返回,Ctrl+C 取消后,systemctl status firewalld 提示启动状态超时,启动失败。 问题解决 #关闭firewalld服务 systemctl stop firewalld; #关闭firewalld进程 pkill -f firewalld; #启动firewalld服务 systemctl start firewalld; 到此就正常了。 官方的说法是可能 systemd
银河麒麟v10 sp1离线安装vnc
09-01
要在银河麒麟v10 SP1系统上离线安装VNC,可以按照以下步骤进行操作: 1. 首先,关闭防火墙。可以使用以下命令停止firewalld服务: 2. 安装tigervnc-server软件包。可以使用以下命令通过yum安装: 3. 如果你有一个离线安装包,可以将其复制到服务器上。 4. 打开终端并进入离线安装包所在的目录。 5. 运行安装脚本。根据引用中提供的信息,麒麟SP1系统可以通过运行脚本自动进行安装和配置。请确保在运行脚本之前已经配置好VNC密码。 6. 安装完成后,VNC服务将自动启动,并在每次开机时自动启动。 如果你没有离线安装包,你可以尝试通过以下链接下载安装包: 请注意,该链接可能需要提取码才能访问。请使用提取码AAAA进行访问。 希望这些步骤对你有帮助!<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [麒麟v10服务器安装vnc](https://blog.csdn.net/weixin_43886632/article/details/127942140)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *2* [麒麟SP1系统安装vnc](https://download.csdn.net/download/qq_41619571/86248597)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] - *3* [麒麟V10离线安装VNC](https://blog.csdn.net/qq_16224495/article/details/115244078)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 33.333333333333336%"] [ .reference_list ]
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值