FireHol溢出日誌

Question

我一直跑到Firehol使用這些消息淹沒我的系統日誌。

Dec 21 23:28:24 ruby kernel: [397194.848618] PASS-unknown:IN=br0 OUT=eth4 MAC=<----some----> SRC=192.168.40.78 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=60844 DF PROTO=TCP SPT=51274 DPT=80 WINDOW=32940 RES=0x00 ACK FIN URGP=0 
Dec 21 23:30:54 ruby kernel: [397344.273426] IN-InetZiggo:IN=eth4 OUT= MAC=<----some----> SRC=71.192.24.195 DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29253 PROTO=TCP SPT=52855 DPT=51300 WINDOW=0 RES=0x00 RST URGP=0 
Dec 21 23:31:44 ruby kernel: [397394.815414] OUT-InetZiggo:IN= OUT=eth4 SRC=y.y.y.y DST=x.x.x.x LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=7530 DF PROTO=TCP SPT=993 DPT=35891 WINDOW=252 RES=0x00 ACK PSH FIN URGP=0 

哪裏X.X.X.X是在互聯網上有效的IP，y.y.y.y我自己的IP和我的局域網是192.168.40.0/24

我已經Firehol這樣來配置，shortedend爲了簡潔;

version 6 

FIREHOL_LOG_MODE = "ULOG" 
FIREHOL_LOG_LEVEL = "0" 

和這樣的接口;

interface eth4 InetZiggo 
     policy drop 
     server all reject 
     server SSH    accept 
     server dns    accept 

     client all    accept 

interface br0 Bridge 
     client all  accept 
     server all  accept 


router br2internet inface br0 outface eth4 
     masquerade 
     client all  accept 
     server all  accept 

所以我希望不會看到這些日誌消息，但我無法擺脫它們。正如我所見，它們被正確地丟棄或接受。第一項是連接到網站的LAN機器，爲什麼會被記錄？我錯過了什麼嗎？這從來沒有發生在版本5中。

具體問題;爲什麼Firehol正在記錄這些，它們是什麼意思，如果它們是無害的，我該如何關閉它？

Answer 1

FireHOL默認情況下會記錄linux連接跟蹤器認爲不屬於任何連接的所有數據包，也不會與防火牆中的任何規則相匹配。

內核連接跟蹤器保留所有活動連接的列表。作爲現有連接一部分的數據包標記爲ESTABLISHED。不屬於現有連接的數據包標記爲NEW。

在很多情況下，連接跟蹤器在接收相關數據包之前清除此列表。在這種情況下，幾毫秒前，部分現有連接（ESTABLISHED）的數據包現在不是（並且它們顯示爲NEW）。

這些NEW與防火牆規則不匹配的數據包由FireHOL記錄。

爲了擺脫TCP ACK+FIN日誌（TCP連接關閉的消息），將此設置爲firehol.conf的頂部：

FIREHOL_DROP_ORPHAN_TCP_ACK_FIN=1 

爲了擺脫INVALID日誌，設置這樣的：

FIREHOL_LOG_DROP_INVALID=0 

INVALID是數據包的另一個狀態，由內核連接跟蹤器設置。

其餘的數據包應該被記錄，因爲它們將是唯一的跡象表明某些工作不正常。

使用firehol，您可以設置這些日誌的速率。默認的比率是：

FIREHOL_LOG_FREQUENCY="1/second" 
FIREHOL_LOG_BURST="5" 

將它們設置爲任何您認爲適合您的值。