我继续遇到Firehol,用我这样的消息充斥我的Syslog。
Dec 21 23:28:24 ruby kernel: [397194.848618] PASS-unknown:IN=br0 OUT=eth4 MAC=<----some----> SRC=192.168.40.78 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=60844 DF PROTO=TCP SPT=51274 DPT=80 WINDOW=32940 RES=0x00 ACK FIN URGP=0
Dec 21 23:30:54 ruby kernel: [397344.273426] IN-InetZiggo:IN=eth4 OUT= MAC=<----some----> SRC=71.192.24.195 DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29253 PROTO=TCP SPT=52855 DPT=51300 WINDOW=0 RES=0x00 RST URGP=0
Dec 21 23:31:44 ruby kernel: [397394.815414] OUT-InetZiggo:IN= OUT=eth4 SRC=y.y.y.y DST=x.x.x.x LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=7530 DF PROTO=TCP SPT=993 DPT=35891 WINDOW=252 RES=0x00 ACK PSH FIN URGP=0
x.x.x.x在互联网上是有效的IP,y.y.y.y我自己的IP和我的局域网是192.168.40.0/24
我有Firehol这样配置,为了简洁而缩短;
version 6
FIREHOL_LOG_MODE = "ULOG"
FIREHOL_LOG_LEVEL = "0"
和这样的界面;
interface eth4 InetZiggo
policy drop
server all reject
server SSH accept
server dns accept
client all accept
interface br0 Bridge
client all accept
server all accept
router br2internet inface br0 outface eth4
masquerade
client all accept
server all accept
所以我希望不会看到那些日志消息,但我无法摆脱它们。正如我所看到的,它们被正确地丢弃或接受。第一个条目是连接到网站的局域网机器,为什么要记录?我错过了什么吗?这在第5版中从未发生过。
具体问题;为什么Firehol记录这些,它们是什么意思,如果它们是无害的,我该如何关闭它?
答案 0 :(得分:2)
默认情况下,FireHOL会记录linux连接跟踪器认为不属于任何连接的所有数据包,也不会与防火墙中的任何规则匹配。
内核连接跟踪器保留所有活动连接的列表。属于现有连接的数据包标记为ESTABLISHED。不属于现有连接的数据包标记为NEW。
在许多情况下,连接跟踪器会在接收相关数据包之前清除此列表。在这种情况下,几毫秒之前,现有连接的一部分(ESTABLISHED)的数据包现在不是(并且它们显示为NEW)。
FireHOL会记录这些与防火墙规则不匹配的NEW个数据包。
要删除TCP ACK+FIN日志(TCP连接已关闭消息),请将其设置在firehol.conf的顶部:
FIREHOL_DROP_ORPHAN_TCP_ACK_FIN=1
要删除INVALID日志,请设置:
FIREHOL_LOG_DROP_INVALID=0
INVALID是数据包的另一种状态,由内核连接跟踪器设置。
应该记录其余的数据包,因为它们将是某些事情无法正常工作的唯一迹象。
使用firehol,您可以设置这些日志的速率。默认费率为:
FIREHOL_LOG_FREQUENCY="1/second"
FIREHOL_LOG_BURST="5"
将它们设置为您认为适合自己的任何内容。