O log pode ser ativado no FirewallD

8

Estou executando o Fedora 20 e gostaria de ver o que meu firewall está fazendo em segundo plano. É possível visualizar um log do tráfego bloqueado pelo FirewallD?

David Armstrong
fonte

Respostas:

6

De acordo com esta página , os logs do FirewallD estão em /var/log/firewalld. Para receber mensagens de depuração, você precisa executá-lo com --debugou --debug=2.

rickhg12hs
fonte
10

Sei que este é um post datado, mas o tenho pesquisado hoje e encontrei muitos blogs antigos que tentam resolver esse problema. Para o público, esta atualização da Red Hat deve estar mais disponível do que apenas para assinantes:

Atualize para firewalld-0.4.3.2-8.el7 a partir de Errata RHSA-2016: 2597

Especifique quais pacotes devem ser registrados

firewall-cmd --set-log-denied=<value>

O valor pode ser um dos seguintes: all, unicast, broadcast, multicast ou off

Fonte: https://access.redhat.com/solutions/1191593

liberteh
fonte
3
isso também pode ser configurado manualmente no/etc/firewalld/firewalld.conf
Stuart Cardall
5

Você precisa acrescentar a linha /etc/sysconfig/firewalld
para obter o máximo de detalhes:

FIREWALLD_ARGS=--debug=10

Em seguida, reinicie o firewalldserviço

sudo systemctl restart firewalld

É melhor que editar /usr/lib/systemd/system/firewalld.service.

zlyoha
fonte
1

Para registrar o tráfego bloqueado por firewalld, rsyslogdfuncionou para mim a seguinte abordagem :

Editar /etc/sysconfig/firewallde atualizar o valor para LogDenieda all(ou quando necessário)

LogDenied=all

reiniciar firewalld

sudo systemctl restart firewalld

Isso normalmente adiciona regras de log antes de rejeitar / soltar regras no firewall, algo como:

LOG  all  --  anywhere   anywhere  LOG level warning prefix "IN_drop_DROP: "
LOG  all  --  anywhere   anywhere  LOG level warning prefix "FINAL_REJECT: "

Crie um arquivo chamado /etc/rsyslog.d/custom_iptables.conf(note extension is.conf) e adicione as seguintes instruções:

:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop

reinicie o rsyslog

sudo systemctl restart rsyslog   

Agora os pacotes descartados e rejeitados serão registrados no /var/log/iptables.log

VanagaS
fonte
Confirm, confirmo vendo entradas rejeitadas em journalctl -f. FWIW, inicialmente, com base na outra resposta, eu fiz apenas a parte LogDenied = all, mas não foi suficiente.
Hi-Angel
11
Como atualmente o firewalld não usa o iptables por padrão, recomendo renomear _iptables.conf_firewalld.confpara diminuir a confusão?
Hi-Angel
Ok, estou refazendo isso no outro PC usando esta resposta e notei uma discrepância que vale a pena mencionar: não tenho /etc/sysconfigdir, estou editando o /etc/firewalld/firewalld.confarquivo. Não a notei da última vez que usei essa resposta, porque LogDenied=allfiz a outra resposta.
Hi-Angel