ubuntu - FireHol 溢出日志

Question

我不断遇到 Firehol，我的 Syslog 中充斥着这样的消息。

Dec 21 23:28:24 ruby kernel: [397194.848618] PASS-unknown:IN=br0 OUT=eth4 MAC=<----some----> SRC=192.168.40.78 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=60844 DF PROTO=TCP SPT=51274 DPT=80 WINDOW=32940 RES=0x00 ACK FIN URGP=0
Dec 21 23:30:54 ruby kernel: [397344.273426] IN-InetZiggo:IN=eth4 OUT= MAC=<----some----> SRC=71.192.24.195 DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29253 PROTO=TCP SPT=52855 DPT=51300 WINDOW=0 RES=0x00 RST URGP=0
Dec 21 23:31:44 ruby kernel: [397394.815414] OUT-InetZiggo:IN= OUT=eth4 SRC=y.y.y.y DST=x.x.x.x LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=7530 DF PROTO=TCP SPT=993 DPT=35891 WINDOW=252 RES=0x00 ACK PSH FIN URGP=0

其中 x.x.x.x 是互联网上的有效 IP，y.y.y.y 我自己的 IP 和我的局域网是 192.168.40.0/24

我有这样的 Firehol 配置，为简洁起见；

version 6

FIREHOL_LOG_MODE = "ULOG"
FIREHOL_LOG_LEVEL = "0"

和这样的界面；

interface eth4 InetZiggo
        policy drop
        server all reject
        server SSH              accept
        server dns              accept

        client  all             accept

interface br0 Bridge
        client all      accept
        server all      accept


router br2internet inface br0 outface eth4
        masquerade
        client all      accept
        server all      accept

所以我希望不会看到那些日志消息，但我就是无法摆脱它们。据我所知，它们被正确丢弃或接受。第一个条目是连接到网站的局域网机器，为什么会被记录？我错过了什么吗？这在版本 5 中从未发生过。

具体问题；为什么 Firehol 记录这些，它们是什么意思，如果它们是无害的，我该如何关闭它？

Answer 1

默认情况下，FireHOL 会记录 linux 连接跟踪器认为不属于任何连接的所有数据包，也不会被防火墙中的任何规则匹配。

内核连接跟踪器保留所有事件连接的列表。属于现有连接的数据包标记为 ESTABLISHED .不属于现有连接的数据包标记为 NEW .

在许多情况下，连接跟踪器会在接收相关数据包之前清理此列表。在这种情况下，几毫秒前是现有连接( ESTABLISHED )的一部分的数据包现在不是(它们显示为 NEW )。

这些NEW防火墙规则不匹配的数据包由 FireHOL 记录。

摆脱TCP ACK+FIN日志(TCP 连接关闭消息)，将其设置在 firehol.conf 的顶部:

FIREHOL_DROP_ORPHAN_TCP_ACK_FIN=1

摆脱 INVALID日志，设置这个:

FIREHOL_LOG_DROP_INVALID=0

INVALID是数据包的另一种状态，由内核连接跟踪器设置。

其余的数据包应该被记录下来，因为它们是唯一表明某些东西不能正常工作的迹象。

使用 firehol，您可以设置这些日志的速率。默认率是这样的:

FIREHOL_LOG_FREQUENCY="1/second"
FIREHOL_LOG_BURST="5"

将它们设置为您认为适合您的任何内容。