记录firewall-cmd 拦截到日志

原创 于 2025-09-28 15:37:36 发布 · 677 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#防火墙 #firewalld

在CentOS 7或更高版本的Linux系统中,firewalld默认不会记录被拦截的数据包。要查看firewalld的拦截日志,你需要按照以下步骤进行配置:

1.开启firewalld的日志记录功能:
使用firewall-cmd命令设置logdenied选项为all,表示记录所有被拒绝的。

firewall-cmd --set-log-denied=all

2.重新加载firewalld配置,使更改生效。

firewall-cmd --reload

3.查看系统日志:
你可以通过查看系统日志来找到被firewalld拦截的数据包。常用的日志文件是/var/log/messages,但具体位置可能因系统配置而异。

tail -f /var/log/messages

4.使用rsyslog已经配置特定的日志捕获规则,你可以查看指定的日志文件,例如/var/log/firewalld.log。

配置rsyslog捕获日志(可选):
如果希望将firewalld的拦截日志重定向到特定的文件中,可以编辑rsyslog的配置文件。

例如,创建一个新的配置文件/etc/rsyslog.d/firewalld.conf,并添加以下内容:

:msg,contains,"_DROP" /var/log/firewalld.log 
& stop 
:msg,contains,"_REJECT" /var/log/firewalld.log 
& stop

5.然后重启rsyslog服务:

systemctl restart rsyslog

6.过滤和审计日志(可选):
如果日志条目太多,你可以编写脚本来过滤和提取有效信息。

例如,创建一个脚本/usr/local/bin/firewall-log来统计被拒绝的IP地址及其次数:

#!/bin/bash
PH=/tmp/.deny_analyze
echo '===> firewalld拦截信息日志 <==='
echo
echo  "拒绝次数 IP地址/端口"
cat /var/log/firewalld.log | awk '{print $10"="$17":"$19}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >$PH
cat /var/log/firewalld.log | awk '{print $10"="$18":"$20}' | grep -vE "SRC=0000*|SRC=fe80*" | grep DPT >>$PH
cat $PH | awk -F= '{gsub("PROTO","协议",$3);gsub("DPT","",$4);print $2"->"$3"/"$4$5}' | sort -nr | uniq -c | sort -nr | head -10

7.给脚本添加可执行权限:

chmod +x /usr/local/bin/firewall-log

然后运行脚本查看日志:

firewall-log

通过以上步骤,你就可以查看firewalld的拦截日志了。记得在不需要记录日志时,将logdenied选项设置回off以节省系统资源。

Linux Centos7防火墙详解
鹅不糊涂的博客
05-17 1万+
在CentOS7中,系统预装了一种名为firewalld防火墙软件。与之前的iptables防火墙相比,firewalld具有更为灵活和精细的策略配置方式以及更易于管理和维护的特点。firewalld可以根据网络连接的变化自动调整防火墙策略,保障系统和用户的安全。
firewall-cmd 拦截记录在哪里看到
静宁宇思
06-23 730
firewall-cmd 拦截记录配置
配置防火墙日志记录功能
XMWS-IT
12-05 3041
实验效果记录所有被防火墙拦截的数据包,并且保存以用于后续分析服务器是否被"端口扫描"配置步骤1、启用防火墙日志记录功能可以使用 firewall-cmd 命令修改 2、配置日志文件单独保存默认情况下,防火墙的拒绝日志会被保存在/var/log/messages 文件中。但随着时间流逝,大量的拒绝日志可能会充斥该文件,并且默认系统会对 messages 文件进行日志旋转,不利于后续的准确分析。可以通过 rsyslog 来捕获日志,并将其重定向到其他指定的文件中。在 /etc/rsyslog.d/ 目录下创
Linux防火墙问题排查记录
唯有热爱 可抵万难
09-02 1064
在业务当中,开通了防火墙,导致外部数据无法通过SFTP服务访问本机的服务,根据防火墙策略判断,应该是有一些IP没有被加进accept策略导致的,所以需要查看防火墙日志来追溯哪些IP被过滤掉了,只要放通这些IP,理论上就可以解决这个问题。
Linux查看防火墙日志
热门推荐
m0_46665077的博客
04-23 1万+
Linux查看防火墙日志 CentOS系统查询防火墙日志
sudo firewall-cmd --list-services 返回了dhcpv6-client ssh
最新发布
10-13
当 `sudo firewall-cmd --state` 显示 `running` 且 `sudo firewall-cmd --list-services` 返回 `dhcpv6-client ssh` 时,说明防火墙已启用且当前仅允许 DHCPv6 客户端和 SSH 服务。下一步应根据您的实际需求进行...
[root@localhost ~]# firewall-cmd --permanent --zone=public --add-service=ftp success [root@localhost ~]# firewall-cmd --reload success [root@localhost ~]# ftp localhost Trying ::1... ftp: connect to address ::1Connection refused Trying 127.0.0.1... Connected to localhost (127.0.0.1). 220 (vsFTPd 3.0.2) Name (localhost:root): 我用ipv4的地址不可以吗?它为什么报错
03-25
firewall-cmd --permanent --add-port=30000-31000/tcp # 被动模式端口示例 firewall-cmd --reload ``` 3. **SELinux策略拦截** - 临时禁用SELinux测试影响: ```bash setenforce 0 ``` 若问题解决,需调整...
改完了 firewall-cmd --list-ports 有9999 但是访问还显示报错错误:connect ECONNREFUSED 101.43.146.108:9999
09-26
我们之前已经解决了 FirewallD 未运行的问题,现在用户遇到的新问题是:虽然 `firewall-cmd --list-ports` 显示端口 9999 已经开放,但访问该端口时出现 `ECONNREFUSED` 错误。 这个错误通常表示目标主机拒绝了...
[root@VM-16-12-centos ~]# firewall-cmd --list-ports 20/tcp 21/tcp 22/tcp 80/tcp 443/tcp 33063/tcp 39000-40000/tcp 888/tcp 2222/tcp 3333/tcp [root@VM-16-12-centos ~]# iptables -nL | grep 2222 # 检查底层iptables规则(若使用混合防火墙) ACCEPT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:2222 ctstate NEW,UNTRACKED [root@VM-16-12-centos ~]# ss -lnt sport = :3333 State Recv-Q Send-Q Local Address:Port Peer Address:Port [root@VM-16-12-centos ~]# netstat -tuln | grep ':3333' [root@VM-16-12-centos ~]# firewall-cmd --query-port=3333/tcp yes [root@VM-16-12-centos ~]# firewall-cmd --list-ports --permanent | grep '3333/tcp' 20/tcp 21/tcp 22/tcp 80/tcp 443/tcp 33063/tcp 39000-40000/tcp 888/tcp 2222/tcp 3333/tcp [root@VM-16-12-centos ~]# sudo semanage port -a -t http_port_t -p tcp 3333 # 根据服务类型调整策略 sudo: semanage: command not found [root@VM-16-12-centos ~]# audit2why -a | grep 3333 # 分析 SELinux 日志 bash: audit2why: command not found [root@VM-16-12-centos ~]#
06-03
| 永久开放防火墙端口 | `firewall-cmd --permanent --add-port=3333/tcp && firewall-cmd --reload`[^4] | --- ### 典型问题场景 - **场景 1**:SELinux 阻止自定义端口 **现象**:服务已监听,防火墙已开放,...
Linux开启Firewalld防火墙日志记录(学习笔记)
cc__niu的博客
12-07 4094
Firewalld 的 logdenied 选项默认情况下只会记录被拒绝的数据包,即 REJECT 类型的日志。这是因为 logdenied 选项主要用于记录防火墙拒绝的数据包,以便进行审计和故障排除。
linux firewall日志,linux系统日志
weixin_39534321的博客
05-10 390
一、 日志简介Linux保存了系统中所发生事件的详细记录,这些记录称作日志文件或消息文件。可以查阅日志文件来确定系统当前状态,观察***者踪迹,寻找某特定程序(或事件)相关的数据。centos6使用rsyslog替代syslog记录日志rsyslog 的日志文件位于 /etc/rsyslog.conf 文件中 #开头为注释 主要包括几大部分:#### MODULES #### 表示系统加载的模块1...
firewalld的运行时日志配置
qq_41272376的博客
03-02 3012
linux(centos8):firewalld的运行时日志配置 一,firewalld配置日志的用途: 在生产环境中,firewalld的默认配置是不记录日志 我们通过日志记录防火墙过滤时拒绝的非法ip, 可以主动把这些有攻击性的ip加入到黑名单, 防患于未然 说明:刘宏缔的架构森林是一个专注架构的博客,地址:https://www.cnblogs.com/architectforest ​ 对应的源码可以访问这里获取: https://github.com/liuhongdi/ 说明:作者:刘
centos 防火墙使用记录
junxing2018_wu的博客
07-07 361
firewall防火墙 firewall防火墙是CentOS 7中一个非常的强大的功能,是CentOS 6.5中iptables防火墙的升级版。 防火墙基本命令 # 安装 firewalld (centos7默认安装firewalld) yum install firewalld firewall-config # 查看 firewalld 是否启用 systemctl status firewalld 或者 systemctl status firewalld.service 或者 firewall-c
CENTOS7防火墙命令记录
weixin_33963594的博客
06-24 500
2019独角兽企业重金招聘Python工程师标准>>> ...
Linux firewalld开启日志审计功能(2)
" DevOps菜鸟(Xu JieHao)" 的博客
02-06 611
Firewalld防火墙中启用和配置logdenied选项,记录被拒绝的数据包(等同于开启日志功能)
firewalld记录被拒绝的连接请求
11-02 1186
一,firewalld配置日志的用途: 在生产环境中,firewalld的默认配置是不记录日志,我们通过日志记录防火墙过滤时拒绝的非法ip,可以主动把这些有攻击性的ip加入到黑名单,防患于未然 二,配置firewalld记录被reject包的日志 修改firewalld的配置文件 [root@blog log]#vi /etc/firewalld/firewalld.conf 设置下面一项的值: LogDenied=all 说明: 默认值是off,即不记录被拒的,设置为all,表示..
Linux学习笔记 --Firewalld
HnSoi的博客
06-04 625
#Firewalld# [root@localhost ~]# systemctl stop iptables [root@localhost ~]# systemctl mask iptables.service ##禁用iptables [root@localhost ~]# systemctl start firewalld [root@localhost ~]# syst
自己整理的FortiGate 飞塔 防火墙查看密令
m0_62306540的博客
08-22 4305
get system inter physical 查看物理接口状态,,如果不加 physical 参数可以显示逻辑 vpn。get router info routing-table static 查看路由表中的静态路由。get router info routing-table all 查看全局路由表。diagnose sys sdwan health-check 查看 sdwan。get sys arp | grep -f <ip address> 查看mac。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值