我一直跑到Firehol使用这些消息淹没我的系统日志。FireHol溢出日志
Dec 21 23:28:24 ruby kernel: [397194.848618] PASS-unknown:IN=br0 OUT=eth4 MAC=<----some----> SRC=192.168.40.78 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=60844 DF PROTO=TCP SPT=51274 DPT=80 WINDOW=32940 RES=0x00 ACK FIN URGP=0
Dec 21 23:30:54 ruby kernel: [397344.273426] IN-InetZiggo:IN=eth4 OUT= MAC=<----some----> SRC=71.192.24.195 DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29253 PROTO=TCP SPT=52855 DPT=51300 WINDOW=0 RES=0x00 RST URGP=0
Dec 21 23:31:44 ruby kernel: [397394.815414] OUT-InetZiggo:IN= OUT=eth4 SRC=y.y.y.y DST=x.x.x.x LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=7530 DF PROTO=TCP SPT=993 DPT=35891 WINDOW=252 RES=0x00 ACK PSH FIN URGP=0
哪里X.X.X.X是在互联网上有效的IP,y.y.y.y我自己的IP和我的局域网是192.168.40.0/24
我已经Firehol这样来配置,shortedend为了简洁;
version 6
FIREHOL_LOG_MODE = "ULOG"
FIREHOL_LOG_LEVEL = "0"
和这样的接口;
interface eth4 InetZiggo
policy drop
server all reject
server SSH accept
server dns accept
client all accept
interface br0 Bridge
client all accept
server all accept
router br2internet inface br0 outface eth4
masquerade
client all accept
server all accept
所以我希望不会看到这些日志消息,但我无法摆脱它们。正如我所见,它们被正确地丢弃或接受。第一项是连接到网站的LAN机器,为什么会被记录?我错过了什么吗?这从来没有发生在版本5中。
具体问题;为什么Firehol正在记录这些,它们是什么意思,如果它们是无害的,我该如何关闭它?
谢谢。我改变了它,但现在我仍然看到这样的项目; 'Dec 22 16:31:07 ruby kernel:[458488.854790] IN-InetZiggo:IN = eth4 OUT = MAC = SRC = 83.84.36.1 DST = 255.255.255。255 LEN = 365 TOS = 0x00 PREC = 0x00 TTL = 64 ID = 0 PROTO = UDP SPT = 67 DPT = 68 LEN = 345' 我相信一个portscan或类似的漏洞。由于我的政策设置为拒绝,因此我不会期望被记录,因为它已被明确删除。 –
Eloque
这是一个DHCP消息。正如你可以看到它到255.255.255.255,这意味着:在这个局域网中的所有主机。 –
如果你真的想防止firehol记录所有这些数据包,你可以在接口的末尾(不是路由器)添加'server all reject'。我强烈建议不要这样做。应该记录你不允许的数据包。降低频率和/或使用ULOGD将它们从系统日志中取出,但将它们留在那里。某些时候你会需要它们。 –