Как включить ведение журнала firewalld для заблокированных пакетов в Linux

FirewallD - это приложение с внешним CLI, которое помогает защитить ваш Linux-компьютер от злоумышленников. Вы можете включить ведение журнала в FirewallD, чтобы увидеть список всех плохих парней, которых он остановил. Для этого необходимо открыть приложение терминала и ввести специальные команды. После включения протоколирования вы сможете увидеть список всех отброшенных пакетов информации, которые FirewallD остановил. Команды работают под CentOS/RHEL (Red Hat Enterprise Linux)/Suse/OpenSUSE Linux. Вот как включить ведение журнала FirewallD для отклонённых пакетов в операционных системах Linux.

Firewalld - это динамически управляемый брандмауэр Linux для защиты ваших сетевых соединений, служб и интерфейсов. На этой странице объясняется, как использовать опцию LogDenied в firewalld для включения механизма протоколирования отклонённых пакетов в операционных системах Linux.

Как включить ведение журнала firewalld в Linux

Мы можем установить опции LogDenied в файле /etc/firewalld/firewalld.conf. Другой вариант - использовать команду firewall-cmd. После ее включения ваш Linux-компьютер будет записывать в журнал все пакеты, отклоненные или отброшенные FirewallD. Существует несколько способов включить ведение журнала firewalld. Попробуйте любой из следующих способов:

Обратите внимание, что при использовании firewalld в Linux следует одновременно использовать только один метод для включения и настройки протоколирования отклоненных пакетов.

Настройка протоколирования отклонённых пакетов {firewalld.conf method}

Отредактируйте файл /etc/firewalld/firewalld.conf, введите:

Найдите:

Заменить:

Сохраните и закройте файл в vi/vim. Перезапустите службу firewalld, выполните команду:

ИЛИ

ИЛИ

По умолчанию опция LogDenied выключена. Опция LogDenied включает протоколирование правил непосредственно перед правилами отклонения и сброса в цепочках INPUT, FORWARD и OUTPUT для правил по умолчанию, а также заключительных правил отклонения и сброса в зонах. Возможные значения: all, unicast, broadcast, multicast и off. Для сценариев оболочки можно использовать комбинацию команд grep и sed следующим образом:

Firewalld включить ведение журнала {метод firewall-cmd}

В этом методе мы будем использовать команду firewall-cmd следующим образом.
Найдите и перечислите фактические настройки LogDenie

Измените фактические настройки LogDenie

Проверьте их:

Включение журнала firewalld с помощью инструмента настройки GUI {метод firewall-config}

Пользователи настольных систем Fedora, CentOS или OpenSUSE могут попробовать метод GUI. Откройте окно терминала, а затем откройте инструмент настройки графического интерфейса firewalld. Другими словами, запустите firewall-config следующим образом:

firewall-config

Найдите и щелкните меню " Options " и выберите опцию "Change Log Denied". Выберите новый параметр LogDenied в меню и нажмите OK.

Как просмотреть заблокированные пакеты?

Используйте команду grep или команду journalctl:

ИЛИ мы используем комбинацию dmesg и grep следующим образом:

Примеры вывода:

Как записать все отброшенные пакеты в файл /var/log/firewalld-droppd.log

Создайте новый файл конфигурации /etc/rsyslog.d/firewalld-droppd.conf на вашем сервере CentOS/RHEL v7/8:

 

Добавьте следующую конфигурацию

Теперь просмотрите журнал с помощью команды cat/grep/egrep или команды tail:

Заключение

Следить за отклоненными и потерянными пакетами с помощью firewalld - важная задача для системных администраторов Linux. Это позволяет избежать проблем с безопасностью и отслеживать атаки. Поэтому в RHEL/CentOS/Fedora и SUSE/OpenSUSE Linux мы должны включить и регистрировать отброшенные пакеты с помощью firewalld.

Понравилась статья? Поделиться с друзьями:
Добавить комментарий