我在 Debian 服务器上安装了 Shorewall 防火墙,运行良好。当数据包被丢弃时,我会在 /var/log/messages 中收到各种日志条目,正如预期的那样,例如:
Aug 17 19:09:07 cheetah kernel: [80026654.168568] Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:48:8a:5c:cc:00:04:4d:de:18:c2:08:00 SRC=123.123.123.123 DST=111.111.111.111 LEN=500 TOS=0x00 PREC=0x00 TTL=121 ID=24371 PROTO=UDP SPT=500 DPT=500 LEN=480
我的服务器上没有任何服务在端口 500 上监听。还有很多类似的条目,以及来自进行端口扫描等的人的其他目标端口(例如,试图连接到 3389 上的 RDP 的人等)
我的问题是,我该如何防止记录这些丢弃的数据包?Google 没有提供任何帮助,我在 Shorewall 的网站上也找不到任何相关信息。我知道记录它们很重要,这样我才能知道是什么影响了我的系统,但我也很好奇如果我想的话,我该如何防止记录。具体来说,我该如何防止只记录特定 IP 地址和/或端口(例如,防止记录来自给定 IP 的所有丢弃的数据包,或防止记录尝试连接到特定端口的所有丢弃的数据包)。
答案可能是只是将一个明确的 DROP 规则放入我正在考虑的 /etc/shorewall/rules 中(并且我假设由于规则会匹配,所以不会发生任何日志记录),但我想先在这里调查我的选项以看看大家的想法。
谢谢
答案1
添加以下规则:
DROP 123.123.123.123 111.111.111.111 udp 500
或者在 中指定 'blacklist' 选项/etc/shorewall/interfaces
,并将以下行放入 中/etc/shorewall/blacklist
:
123.123.123.123 udp 500
另请查看 中的 BLACKLIST_LOGLEVEL /etc/shorewall/shorewall.conf
。