linux防火墙日志命令行,第9篇 Linux防火墙-日志管理

最新推荐文章于 2024-07-01 09:18:14 发布
最新推荐文章于 2024-07-01 09:18:14 发布
阅读量658 收藏 1
点赞数
文章标签: linux防火墙日志命令行

本篇主要还是解决,第8篇防火墙配置遗留的一些问题,中间穿插了《第9篇:Linux rsyslog日志服务》的内容。

b84315f4ea6c

image

我们知道这些日志由内核生成,因此它们转到接收内核日志的文件:/var/log/kern.log。如果要将这些日志重定向到其他文件,则无法通过iptables完成。 可以在分发日志的程序的配置中完成:rsyslog。

首先确保Linux的rsyslog服务已经正常配置,我们在其配置文件中,确保include(file="/etc/rsyslog.d/*.conf" mode="optional")已经取消注释,以便rsyslog加载/etc/rsyslog.d目录下的任何配置文件

b84315f4ea6c

我们在/etc/rsyslog.d目录下新建一个firewalld.conf的文件,然后写入其中的日志配置

kern.* /var/log/firewalld.log

还有我们需要配置日志滚动

vim /etc/logrotate.d/syslog

如下图所示

b84315f4ea6c

OK,剩下的问题我们需要重新修订之前的iptables的规则,之前的direct规则(iptables规则)

我们为以下几种攻击类型的添加以下目标动作的chain

端口扫描 chain名称是PORT_SCANNING

IP欺骗,chain名称是SPOOFING

sync攻击,chain名称是SYN_ATTACK

tcp泛洪,chain名称是TCP_FLOOD

firewall-cmd --permanent --direct --add-chain ipv4 filter PORT_SCANNING

firewall-cmd --permanent --direct --add-chain ipv4 filter SPOOFING

firewall-cmd --permanent --direct --add-chain ipv4 filter SYN_ATTACK

firewall-cmd --permanent --direct --add-chain ipv4 filter TCP_FLOOD

我们为上面的每条chain规则定义两个target

首先 -j LOG的target,表示对匹配规则的数据包的信息写入日志文件中

然后 -j DROP的target,表示对匹配规则的数据包最终做丢弃处理

ipv4 mangle PORT_SCANNING 0 -m recent --name portscan --rcheck --seconds 25200 -j DROP

ipv4 mangle PORT_SCANNING 1 -m recent --name portscan --remove

ipv4 mangle PORT_SCANNING 2 -p tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix port_scan:

ipv4 mangle PORT_SCANNING 3 -p tcp --dport 139 -m recent --name portscan --set -j DROP

ipv4 mangle SPOOFING 0 -j LOG --log-prefix ip_spoofing:

ipv4 mangle SPOOFING 1 -j DROP

ipv4 mangle SYN_ATTACK 0 -j LOG --log-prefix syn_attack:

ipv4 mangle SYN_ATTACK 1 -j DROP

ipv4 filter TCP_FLOOD 0 -j LOG --log-prefix tcp_flood:

ipv4 filter TCP_FLOOD 1 -j DROP

之后我们将之前定义的规则修改以下

ipv4 mangle ANTI_TCP_INVALID 0 -m conntrack --ctstate INVALID -j DROP

ipv4 mangle ANTI_TCP_INVALID 1 -p tcp '!' --syn -m conntrack --ctstate NEW -j DROP

ipv4 mangle ANTI_TCP_UNORMAL_MSS 0 -p tcp -m conntrack --ctstate NEW -m tcpmss '!' --mss 536:65535 -j DROP

ipv4 mangle ANTI_FORGE_TCP_FLAG 0 -p tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 1 -p tcp --tcp-flags FIN,SYN FIN,SYN -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 2 -p tcp --tcp-flags SYN,RST SYN,RST -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 3 -p tcp --tcp-flags FIN,RST FIN,RST -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 4 -p tcp --tcp-flags FIN,ACK FIN -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 5 -p tcp --tcp-flags ACK,URG URG -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 6 -p tcp --tcp-flags ACK,FIN FIN -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 7 -p tcp --tcp-flags ACK,PSH PSH -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 8 -p tcp --tcp-flags ALL ALL -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 9 -p tcp --tcp-flags ALL NONE -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 10 -p tcp --tcp-flags ALL FIN,PSH,URG -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 11 -p tcp --tcp-flags ALL SYN,FIN,PSH,URG -j SYN_ATTACK

ipv4 mangle ANTI_FORGE_TCP_FLAG 12 -p tcp --tcp-flags ALL SYN,RST,ACK,FIN,URG -j SYN_ATTACK

ipv4 mangle ANTI_IP_SPOOF 0 -s 224.0.0/3 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 1 -s 192.0.2.0/24 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 2 -s 169.254.0.0/16 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 3 -s 172.16.0.0/12 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 4 -i enp3s0 -s 192.168.0.0/16 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 5 -s 10.0.0.0/8 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 6 -s 0.0.0.0/8 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 7 -s 240.0.0.0/5 -j SPOOFING

ipv4 mangle ANTI_IP_SPOOF 8 -s 127.0.0.0/8 '!' -i lo -j SPOOFING

ipv4 filter ANTI_TCP_FLOOD 0 -p tcp -m connlimit --connlimit-above 80 -j REJECT --reject-with tcp-reset

ipv4 filter ANTI_TCP_FLOOD 1 -p tcp -m conntrack --ctstate NEW -m limit --limit 60/s --limit-burst 20 -j ACCEPT

ipv4 filter ANTI_TCP_FLOOD 2 -p tcp --tcp-flags RST RST -m limit --limit 2/s --limit-burst 2 -j ACCEPT

ipv4 filter ANTI_TCP_FLOOD 3 -p tcp --tcp-flags RST RST -j TCP_FLOOD

ipv4 mangle PREROUTING 1 -j ANTI_TCP_INVALID

ipv4 mangle PREROUTING 2 -j ANTI_TCP_UNORMAL_MSS

ipv4 mangle PREROUTING 3 -j ANTI_FORGE_TCP_FLAG

ipv4 mangle PREROUTING 4 -j ANTI_IP_SPOOF

ipv4 mangle PREROUTING 0 -i enp3s0 -j PORT_SCANNING

ipv4 filter INPUT 0 -j ANTI_TCP_FLOOD

ipv4 filter INPUT 1 -j ANTI_SSH_INTRUSION

ipv4 filter ANTI_SSH_INTRUSION 0 -p tcp --dport 9732 -m conntrack --ctstate NEW -m recent --set

ipv4 filter ANTI_SSH_INTRUSION 1 -p tcp --dport 9732 -m conntrack --ctstate NEW -m recent --update --seconds 60 --hitcount 10 -j DROP

ipv4 mangle PORT_SCANNING 0 -m recent --name portscan --rcheck --seconds 25200 -j DROP

ipv4 mangle PORT_SCANNING 1 -m recent --name portscan --remove

ipv4 mangle PORT_SCANNING 2 -p tcp --dport 139 -m recent --name portscan --set -j LOG --log-prefix port_scan:

ipv4 mangle PORT_SCANNING 3 -p tcp --dport 139 -m recent --name portscan --set -j DROP

ipv4 mangle SPOOFING 0 -j LOG --log-prefix ip_spoofing:

ipv4 mangle SPOOFING 1 -j DROP

ipv4 mangle SYN_ATTACK 0 -j LOG --log-prefix syn_attack:

ipv4 mangle SYN_ATTACK 1 -j DROP

ipv4 filter TCP_FLOOD 0 -j LOG --log-prefix tcp_flood:

ipv4 filter TCP_FLOOD 1 -j DROP

之后我们将firewalld服务重启一次,然后让防火墙运行数天后,syslog服务已经记录下服务器在运行期间遇到各种类型的攻击,写到本文时,我已经发现来自以下攻击ip的尝试扫描过我的服务器,尝试扫描我服务器的基本上会拉黑的,因为我们上面的规则,对于那些恶意扫描的源ip会被封25200秒,也就是封禁7天。

b84315f4ea6c

aisolopreneur
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙日志检查记录
05-23
防火墙日志检查记录,
Linux 防火墙笔记
他乡幻想的专栏
09-15 389
# 查看防火墙状态 service iptables status # 保存iptables service iptables save # 拒绝所有访问xxxx端口的请求 iptables -I INPUT -p tcp --dport xxxx -j DROP # 允许本地访问xxxx端口 iptables -I INPUT -s 127.0.0.1 -p tcp --d
linux防火墙日志命令行,Linux 防火墙 iptables 初学者教程
weixin_30753697的博客
04-29 181
iptables 是专为 Linux 操作系统打造的极其灵活的防火墙工具。对 Linux 极客玩家和系统管理员来说,iptables 非常有用。本文将向你展示如何配置最通用的 Linux 防火墙。关于 iptablesiptables 是一个基于命令行防火墙工具,它使用规则链来允许/阻止网络流量。当一条网络连接试图在你的系统中建立时,iptables 会查找其对应的匹配规则。如果找不到,ipta...
Linux查看防火墙日志
m0_46665077的博客
04-23 8602
Linux查看防火墙日志 CentOS系统查询防火墙日志
Linux开启Firewalld防火墙日志记录(学习笔记)
cc__niu的博客
12-07 1524
Firewalld 的 logdenied 选项默认情况下只会记录被拒绝的数据包,即 REJECT 类型的日志。这是因为 logdenied 选项主要用于记录被防火墙拒绝的数据包,以便进行审计和故障排除。
linux私房菜基础+服务器(第三版)
03-22
Linux私房菜基础+服务器(第三版)》是Linux系统管理和运维领域的一本经典教程,旨在帮助读者深入理解和熟练掌握Linux操作系统。这本书涵盖了从基础操作到高级服务器配置的广泛内容,对于想要在IT行业中提升...
redis数据库安装包-Linux-x64
04-10
3. Redis提供丰富的命令行接口(CLI)和客户端库,方便与其他应用程序交互。 接下来,我们将按照以下步骤在Linux-x64系统上安装Redis: 1. **下载Redis源码**: - 访问Redis官方网站(https://redis.io/download)...
《网络系统管理--Linux实训》 课件下载第八章
03-11
在本课程"网络系统管理--Linux实训"的第八章中,我们将深入探索Linux操作系统在实际网络环境中的管理和维护技术。Linux作为一种开放源代码、稳定且功能强大的操作系统,被广泛应用于服务器、网络设备以及各类...
ch01unix-linux编程实践.rar
12-21
"ch01unix-linux编程实践.rar"这个压缩包文件很可能包含了一本关于Unix/Linux编程实践的书籍的第一章节,或者是一系列相关的学习资料。让我们深入探讨一下这个主题中的关键知识点。 1. **Unix/Linux基础**: - **...
Linux从入门到精通(第2版)PPT-刘忆智课件
02-11
本课件“Linux从入门到精通(第2版)PPT-刘忆智”旨在帮助初学者深入理解Linux系统,掌握其核心概念、基本操作和高级应用。以下是基于该课程内容可能涵盖的一些主要知识点: 1. **Linux历史与哲学**:了解Linux的起源...
Linux运维•运维日志-CentOs7防火墙
Damon Lee的博客
12-06 416
一、firewalld的基本使用 启动: systemctl start firewalld 关闭: systemctl stop firewalld 查看状态: systemctl status firewalld  开机禁用  : systemctl disable firewalld 开机启用  : systemctl enable firewalld   二、sys...
linux | 设置防火墙、查ip、tail动态查看日志
ttxiaoxiaobai的博客
08-25 549
#防火墙 #tcp/udp port #centos6、centos7 #ubuntu18、ubuntu20 防火墙的过滤
linux7 防火墙日志,Linux CentOS 7 防火墙/端口设置
weixin_28864057的博客
05-05 239
CentOS升级到7之后用firewall代替了iptables来设置Linux端口,下面是具体的设置方法:[]:选填<>:必填[]:作用域(block、dmz、drop、external、home、internal、public、trusted、work):端口号[-]:或者端口范围:端口协议(tcp、udp)[]:过期时间,使用N秒后自动关闭(秒)[--permanent]:永久设...
linux检查防火墙日志,LINUX防火墙iptables的日志管理
weixin_35964207的博客
05-01 2337
iptables的日志(log)由syslogd纪录和管理。初始存放在 /var/log/messages里面。自动采取循环纪录(rotation)的方式记录。但是由于混在 messages中,对于管理和监视产生了不便。这里,我简单介绍一下我的 iptables日志管理,循环,和自动报告生成的经验:由于iptables是linux的内核本身的功能,由dmesg或syslogd的facility结...
防火墙日志 Linux,LINUX防火墙iptables的日志管理心得
weixin_32724679的博客
05-03 368
iptables的日志(log)由syslogd纪录和管理。初始存放在/var/log/messages里面。自动采取循环纪录(rotation)的方式记录。但是由于混在messages中,对于管理和监视产生了不便。这里,我简单介绍一下我的iptables日志管理,循环,和自动报告生成的经验:由于iptables是linux的内核本身的功能,由dmesg或syslogd的facility结合内核...
Linux7查看防火墙日志,linux(centos8):firewalld的运行时日志配置
weixin_36280492的博客
05-02 4974
一,firewalld配置日志的用途:在生产环境中,firewalld的默认配置是不记录日志我们通过日志记录下防火墙过滤时拒绝的非法ip,可以主动把这些有攻击性的ip加入到黑名单,防患于未然说明:作者:刘宏缔 邮箱: 371125307@qq.com二,配置firewalld记录被reject包的日志修改firewalld的配置文件[root@blog log]# vi /etc/firewall...
linux 字符串截取_第13:Linux防火墙日志基本审计
weixin_39997300的博客
11-28 118
整个Linux日志管理,大体上就分为三个管理区块:日志的采集以及分析、轮转rsyslog是一个系统的守护进程,绝大部分和操作系统有关的日志,例如系统安全、认证,计划任务等等都由该进程完成。还有一些第三方的日志管理,例如nginx,httpd、mysql这些常用的网络服务有自己的日志记录方式,跟rsyslog没有半点关系。当然本文主要讨论有关rsyslog的日志分析方法。查看日志的常用命令tail ...
Linux防火墙规则查询与日志记录命令解析
最新发布
Leon_Jinhai_Sun的博客
07-01 268
Linux防火墙规则查询与日志记录命令解析
LINUX防火墙日志,每天这么大量数据在做什么
weixin_34138139的博客
11-27 245
Nov 27 19:53:09 llpwfirewall kernel: llog IN=eth1 OUT= MAC=00:e0:4c:f8:9c:23:00:d0:02:e2:54:00:08:00 SRC=222.218.130.73 DST=61.50.143.110 LEN=57 TOS=0x00 PREC=0x00 TTL=114 ID=1086 PROTO=UDP...
Linux实用技巧:全局变量、日志管理防火墙设置及文件操作
本文档涵盖了Linux系统中常用的各种命令及其操作技巧,适合日常开发和系统管理。以下是部分主要内容的详细...这文章详细介绍了Linux系统管理过程中常见的实用技巧和命令,为Linux用户提供了丰富的参考和实践指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值