FireHol溢出日志

Question

我一直跑到Firehol使用这些消息淹没我的系统日志。

Dec 21 23:28:24 ruby kernel: [397194.848618] PASS-unknown:IN=br0 OUT=eth4 MAC=<----some----> SRC=192.168.40.78 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=60844 DF PROTO=TCP SPT=51274 DPT=80 WINDOW=32940 RES=0x00 ACK FIN URGP=0 
Dec 21 23:30:54 ruby kernel: [397344.273426] IN-InetZiggo:IN=eth4 OUT= MAC=<----some----> SRC=71.192.24.195 DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29253 PROTO=TCP SPT=52855 DPT=51300 WINDOW=0 RES=0x00 RST URGP=0 
Dec 21 23:31:44 ruby kernel: [397394.815414] OUT-InetZiggo:IN= OUT=eth4 SRC=y.y.y.y DST=x.x.x.x LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=7530 DF PROTO=TCP SPT=993 DPT=35891 WINDOW=252 RES=0x00 ACK PSH FIN URGP=0 

哪里X.X.X.X是在互联网上有效的IP，y.y.y.y我自己的IP和我的局域网是192.168.40.0/24

我已经Firehol这样来配置，shortedend为了简洁;

version 6 

FIREHOL_LOG_MODE = "ULOG" 
FIREHOL_LOG_LEVEL = "0" 

和这样的接口;

interface eth4 InetZiggo 
     policy drop 
     server all reject 
     server SSH    accept 
     server dns    accept 

     client all    accept 

interface br0 Bridge 
     client all  accept 
     server all  accept 


router br2internet inface br0 outface eth4 
     masquerade 
     client all  accept 
     server all  accept 

所以我希望不会看到这些日志消息，但我无法摆脱它们。正如我所见，它们被正确地丢弃或接受。第一项是连接到网站的LAN机器，为什么会被记录？我错过了什么吗？这从来没有发生在版本5中。

具体问题;为什么Firehol正在记录这些，它们是什么意思，如果它们是无害的，我该如何关闭它？

Answer 1

FireHOL默认情况下会记录linux连接跟踪器认为不属于任何连接的所有数据包，也不会与防火墙中的任何规则相匹配。

内核连接跟踪器保留所有活动连接的列表。作为现有连接一部分的数据包标记为ESTABLISHED。不属于现有连接的数据包标记为NEW。

在很多情况下，连接跟踪器在接收相关数据包之前清除此列表。在这种情况下，几毫秒前，部分现有连接（ESTABLISHED）的数据包现在不是（并且它们显示为NEW）。

这些NEW与防火墙规则不匹配的数据包由FireHOL记录。

为了摆脱TCP ACK+FIN日志（TCP连接关闭的消息），将此设置为firehol.conf的顶部：

FIREHOL_DROP_ORPHAN_TCP_ACK_FIN=1 

为了摆脱INVALID日志，设置这样的：

FIREHOL_LOG_DROP_INVALID=0 

INVALID是数据包的另一个状态，由内核连接跟踪器设置。

其余的数据包应该被记录，因为它们将是唯一的迹象表明某些工作不正常。

使用firehol，您可以设置这些日志的速率。默认的比率是：

FIREHOL_LOG_FREQUENCY="1/second" 
FIREHOL_LOG_BURST="5" 

将它们设置为任何您认为适合您的值。