1. 首页
  2. 问答
  3. 如何使用firewalld记录拒绝连接到特定端口?

如何使用firewalld记录拒绝连接到特定端口?

2015-02-06 59 views
1

在我的新CentOS7盒子上我尝试使用'new'firewalld,但是我无法记录掉连接尝试。 有人知道这个诀窍吗?如何使用firewalld记录拒绝连接到特定端口?

我想:

firewall-cmd --zone=public --remove-service=ssh 
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.1.2.0/24" port port="22" protocol="tcp" log prefix="SSH-ALLOW_" accept' 
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.3.4.0/24" port port="22" protocol="tcp" log prefix="SSH-ALLOW_" accept' 
[here comes a VERY VERY long list of similar entries]

而现在的问题是:如何指定从不被允许IP的连接尝试日志条目? 类似非工作的东西:

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="NOT-ONE-OF-THE-ABOVE" port port="22" protocol="tcp" log prefix="SSH-DENY_" drop'

任何想法?

来源

2015-02-06 Petra Verheim

回答

0

差不多。在这两种情况下,反转地址参数。

对于示例包括显示两个子网,更改原始:

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="NOT-ONE-OF-THE-ABOVE" port port="22" protocol="tcp" log prefix="SSH-DENY_" drop'

对于这些:

firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.1.2.0/24" invert=true port port="22" protocol="tcp" log prefix="SSH-DENY_" drop' 
firewall-cmd --zone=public --add-rich-rule='rule family="ipv4" source address="10.3.4.0/24" invert=true port port="22" protocol="tcp" log prefix="SSH-DENY_" drop'

这将导致下面的IP表规则由firewalld创建

# iptables -S | grep _public_log 
-A IN_public -j IN_public_log 
-A IN_public_log ! -s 10.1.2.0/24 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j LOG --log-prefix SSH-DENY_ 
-A IN_public_log ! -s 10.3.4.0/24 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j LOG --log-prefix SSH-DENY_

iptables中两个规则的区别在于'!'代表逻辑运算符“不”。你原来的规则iptables:

-A IN_public_deny -s 10.1.2.0/24 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j DROP 
-A IN_public_log -s 10.1.2.0/24 -p tcp -m tcp --dport 22 -m conntrack --ctstate NEW -j LOG --log-prefix SSH-DENY_

HTH。

来源

2015-09-01 22:30:38 MrPaws

0

我知道这是一个过时的帖子,我的解决方案并不直接解决特定端口的日志记录问题,但我一直在使用firewalld搜索日志记录。有许多旧帖子和博客试图解决这个问题。

对于公众,从红帽此更新应该更可不仅仅是给用户:

升级到勘误RHSA-2016 firewalld-0.4.3.2-8.el7:2597

指定哪些包应被记录

防火墙-CMD --set日志被拒绝= 值可以是以下之一:所有,单播,广播,多播或关闭

来源:https://access.redhat.com/solutions/1191593

来源

2018-01-30 16:06:58 liberteh

相关问题

 相关问题