Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务）

2023-05-16

文章目录

一、前文
二、打开日志
- 2.1 修改配置
- 2.2 测试验证
- 2.3 日志保存到本地
三、允许IP网段
四、关闭ssh

一、前文

基础知识请查阅：Linux系统firewalld防火墙的基本操作
进阶知识请查阅：Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务）
应用实操请查阅：Linux系统firewalld防火墙的应用实操（对外端口开放使用，对内端口限制ip地址使用，不使用端口默认关闭）
应用实操请查阅：Linux系统firewalld防火墙的应用实操（禁止屏蔽海外国外IP访问）

二、打开日志

2.1 修改配置

vim /etc/firewalld/firewalld.conf

LogDenied=all

重启firewalld

systemctl restart firewalld
systemctl status firewalld

2.2 测试验证

切换个WiFi，查询本机IP地址
使用DataGrip查询下MySQL

在这里插入图片描述

[root@iZ2ze30dygwd6yh7gu6lskZ ~]# dmesg | grep -i reject
[47097724.295920] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=173.82.163.104 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=105 ID=55127 DF PROTO=TCP SPT=24717 DPT=3306 WINDOW=29200 RES=0x00 SYN URGP=0 
[47097724.305959] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=173.82.163.104 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=91 ID=27553 DF PROTO=TCP SPT=56131 DPT=3389 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097734.793855] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=45.77.32.235 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=95 ID=15043 DF PROTO=TCP SPT=14917 DPT=3389 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097734.802632] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=45.77.32.235 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=93 ID=35103 DF PROTO=TCP SPT=4657 DPT=3306 WINDOW=29200 RES=0x00 SYN URGP=0 
[47097735.945460] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=45.77.32.235 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=87 ID=65303 DF PROTO=TCP SPT=27778 DPT=3306 WINDOW=29200 RES=0x00 SYN URGP=0 
[47097735.945936] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=45.77.32.235 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=91 ID=4503 DF PROTO=TCP SPT=33155 DPT=3389 WINDOW=29200 RES=0x00 SYN URGP=0 
[47097738.009845] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=45.77.32.235 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=87 ID=65303 DF PROTO=TCP SPT=27778 DPT=3306 WINDOW=29200 RES=0x00 SYN URGP=0 
[47097738.010305] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=45.77.32.235 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=91 ID=4503 DF PROTO=TCP SPT=33155 DPT=3389 WINDOW=29200 RES=0x00 SYN URGP=0 
[47097960.728848] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=27.149.45.24 DST=172.20.125.57 LEN=52 TOS=0x14 PREC=0x00 TTL=114 ID=47356 DF PROTO=TCP SPT=9096 DPT=3306 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097961.752929] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=27.149.45.24 DST=172.20.125.57 LEN=52 TOS=0x14 PREC=0x00 TTL=114 ID=47357 DF PROTO=TCP SPT=9096 DPT=3306 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097963.768618] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=27.149.45.24 DST=172.20.125.57 LEN=52 TOS=0x14 PREC=0x00 TTL=114 ID=47358 DF PROTO=TCP SPT=9096 DPT=3306 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097965.402544] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=65.108.245.43 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=112 ID=31227 DF PROTO=TCP SPT=569 DPT=3389 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097965.626134] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=65.108.245.43 DST=172.20.125.57 LEN=64 TOS=0x14 PREC=0x00 TTL=112 ID=31227 DF PROTO=TCP SPT=569 DPT=3389 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097967.768565] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=27.149.45.24 DST=172.20.125.57 LEN=52 TOS=0x14 PREC=0x00 TTL=114 ID=47366 DF PROTO=TCP SPT=9096 DPT=3306 WINDOW=64240 RES=0x00 SYN URGP=0 
[47097975.768955] FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=27.149.45.24 DST=172.20.125.57 LEN=52 TOS=0x14 PREC=0x00 TTL=114 ID=47367 DF PROTO=TCP SPT=9099 DPT=3306 WINDOW=64240 RES=0x00 SYN URGP=0

2.3 日志保存到本地

创建firewalld的运行时日志文件

[root@iZ2ze30dygwd6yh7gu6lskZ ~]# vim /etc/rsyslog.d/firewalld.conf

kern.* /var/log/firewalld.log

修改日志管理工具

[root@iZ2ze30dygwd6yh7gu6lskZ ~]# vim /etc/logrotate.d/syslog

/var/log/cron
/var/log/maillog
/var/log/messages
/var/log/secure
/var/log/firewalld.log
/var/log/spooler
{
    missingok
    sharedscripts
    postrotate
        /usr/bin/systemctl kill -s HUP rsyslog.service >/dev/null 2>&1 || true
    endscript
}

重启日志服务
打开firewalld.log日志

[root@iZ2ze30dygwd6yh7gu6lskZ ~]# systemctl restart rsyslog.service
[root@iZ2ze30dygwd6yh7gu6lskZ ~]# more /var/log/firewalld.log
Aug 16 00:14:39 iZ2ze30dygwd6yh7gu6lskZ kernel: FINAL_REJECT: IN=eth0 OUT= MAC=00:16:3e:2e:3a:9e:ee:ff:ff:ff:ff:ff:08:00 SRC=120.48.155.162 DST=172.20.125.57 LEN=60 TOS=0x14 PREC=0x00 TTL=52 ID=18745 DF PROTO=TCP SPT=46710 DPT=6379 WINDOW=29200 RES=0x00 SYN URGP=0

在这里插入图片描述

三、允许IP网段

早上才查询了办公室的IP是：117.30.82.11
下午一测就发现访问不了服务器的数据库了，再查IP，就发现IP变了
所以，我们允许IP访问的时候，不能只允许单个IP，应该允许某个IP网段
IP网段知识点学习请查阅：IP网段知识点学习（IP地址/数字 IP地址段 IP网段 Linux子网掩码子网/掩码位 IP段起始 IP段结束）
操作如下

在这里插入图片描述

[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 80/tcp 8080/tcp 443/tcp 8443/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="59.61.25.232" port port="22" protocol="tcp" accept
	rule family="ipv4" source address="59.61.25.232" port port="3306" protocol="tcp" accept
	rule family="ipv4" source address="59.61.25.232" port port="6379" protocol="tcp" accept
	rule family="ipv4" source address="117.30.82.11" port port="22" protocol="tcp" accept
	rule family="ipv4" source address="117.30.82.11" port port="3306" protocol="tcp" accept
	rule family="ipv4" source address="117.30.82.11" port port="6379" protocol="tcp" accept
	
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="117.30.82.11" port port="6379" protocol="tcp" accept'
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="117.30.82.11" port port="22" protocol="tcp" accept'
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --permanent --remove-rich-rule='rule family="ipv4" source address="117.30.82.11" port port="3306" protocol="tcp" accept'
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="117.30.82.0/24" port port="3306" protocol="tcp" accept'
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="117.30.82.0/24" port port="22" protocol="tcp" accept'
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="117.30.82.0/24" port port="6379" protocol="tcp" accept'
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --reload
success
[root@iZ2ze30dygwd6yh7gu6lskZ log]# firewall-cmd --list-all
public (active)
  target: default
  icmp-block-inversion: no
  interfaces: eth0
  sources: 
  services: cockpit dhcpv6-client ssh
  ports: 80/tcp 8080/tcp 443/tcp 8443/tcp
  protocols: 
  masquerade: no
  forward-ports: 
  source-ports: 
  icmp-blocks: 
  rich rules: 
	rule family="ipv4" source address="117.30.82.0/24" port port="3306" protocol="tcp" accept
	rule family="ipv4" source address="117.30.82.0/24" port port="22" protocol="tcp" accept
	rule family="ipv4" source address="117.30.82.0/24" port port="6379" protocol="tcp" accept

四、关闭ssh

慎用！慎用！慎用！重要的事情说三遍！
firewalld防火墙默认开启ssh服务，而如果我们需要ssh限制特定ip才能使用
那么就需要关闭ssh service

觉得好，就一键三连呗（点赞+收藏+关注）

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

Linux

firewalld

SSH

防火墙的进阶操作

日志保存

Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务）的相关文章

段错误...关于你好世界

这段代码非常简单但我在 x86 64 Linux 系统上遇到了段错误这让我很烦恼刚开始接触asm 请耐心等待与 NASM 组装nasm f elf64 test asm 与连接ld o test test o SECTION tex
Qt 嵌入式触摸屏 QMouseEvents 在收到 MouseButtonRelease 之前未收到

我在带有触摸屏的小型 ARM 嵌入式 Linux 设备上使用 Qt 4 8 3 我的触摸屏配置了 tslib 并对其进行了校准因此 etc 中有一个 pointcal 文件我的触摸事件的位置工作得很好但无论如何我都会在鼠标按下或鼠标释
如何通过 makefile 在 Linux 上安装程序？ [复制]

这个问题在这里已经有答案了可能的重复 Linux Unix make install 应该包含什么 https stackoverflow com questions 528399 what should linux unix make
Apache 端口转发 80 到 8080 并访问 Apache (80) 中托管的应用程序，即 phpMyadmin 和 Tomcat (8080)

我想访问托管在 tomcat 服务器 8080 中的应用程序 myapp 当前可以通过以下方式访问http example com 8080 myapp http example com 8080 myapp in http example
如何在Linux上用C/C++编写Web服务器[关闭]

Closed 这个问题需要多问focused help closed questions 目前不接受答案我正在考虑在 Linux 平台上开发一个小型阅读初级 Web 服务器但我不知道从哪里开始我希望它能够做的是监听特定端口接受
Linux 内核使用的设备树文件 (dtb) 可视化工具？ [关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案我正在寻找一个可以图形化表示Linux内核中使用的硬件设备树的工具我正在尝试了解特定 Arm 芯片组
使用脚本检查 git 分支是否领先于另一个分支

I have branch1 and branch2我想要某种 git branch1 isahead branch2 这将显示如果branch1已承诺branch2没有也可能指定这些提交我无法检查差异原因branch2 is在之前br
在 scapy 中通过物理环回发送数据包

我最近发现了 Scapy 它看起来很棒我正在尝试查看 NIC 上物理环回模块存根上的简单流量但是 Scapy sniff 没有给出任何结果我正在做的发送数据包是 payload data 10 snf sniff filter ic
使用 systemctl 获取 systemd 进程的正常运行时间或停机时间？

喜欢使用systemctl is active
如何使用 Net::SSH::Perl 和公钥？

我正在尝试使用Net SSH Perl使用公钥与此代码进行连接 my ssh Net SSH Perl gt new host debug gt 1 die 我将密钥放在 root ssh id rsa 和 root ssh identit
为什么 OS X 和 Linux 之间的 UTF-8 文本排序顺序不同？

我有一个包含 UTF 8 编码文本行的文本文件 mac os x cat unsorted txt foo foo 津如果它有助于重现问题这里是文件中确切字节的校验和和转储以及如何自己生成文件在 Linux 上使用base64 d
Bash：将字符串添加到文件末尾而不换行

如何将字符串添加到文件末尾而不换行例如如果我使用 gt gt 它将添加到文件末尾并换行 cat list txt yourText1 root host 37 echo yourText2 gt gt list txt root hos
Docker忽略limits.conf（试图解决“打开文件太多”错误）

我正在运行一个 Web 服务器该服务器正在处理数千个并发 Web 套接字连接为了实现这一点在 Debian linux 我的基本镜像是 google debian wheezy 在 GCE 上运行上打开文件的默认数量设置为 100
如何让 git 和 copSSH 在正确的目录中查找密钥？

我刚刚安装了 Windows 版 copSSH 当我启动它时我得到一个目录C copSSH home Nick ssh其中有我的酒吧和私钥当我通过 Cygwin bash 窗口访问此目录时使用 ssh 用户主机我很高兴地登录了但
Linux shell 从用户输入中获取设备 ID

我正在为一个程序编写安装脚本该程序需要在其配置中使用 lsusb 的设备 ID 因此我正在考虑执行以下操作 usblist lsusb put the list into a array for each line use the arr
SSH IdentitiesOnly=yes 转发我的所有密钥

我一生都无法弄清楚为什么我的 SSH 配置转发了错误的密钥我有两把钥匙我们会打电话给他们home rsa and work rsa 我做了以下事情 eval ssh agent ssh add K ssh home rsa ssh ad
将 RSA 与 Eclipse 远程系统资源管理器结合使用？

我在 Windows 7 计算机上的 Eclipse 中使用远程系统资源管理器 RSE 插件通过 SFTP 在远程 Linux 服务器上编辑文件我在我的机器和 Linux 服务器之间设置了 RSA 密钥对当我在 Cygwin 命令提示
如何从 ssh 配置文件中删除主机条目？

文件的标准格式是 Host example HostName example com Port 2222 Host example2 Hostname two example com Host three example com Port
ioctl 命令的用户权限检查

我正在实现 char 驱动程序 Linux 并且我的驱动程序中有某些 IOCTL 命令仅需要由 ADMIN 执行我的问题是如何在 ioctl 命令实现下检查用户权限并限制非特权用户访问 IOCTL 您可以使用bool capable in
批量删除文件名中包含 BASH 中特殊字符的子字符串

我的目录中有一个文件列表 opencv calib3d so2410 so opencv contrib so2410 so opencv core so2410 so opencv features2d so2410 so opencv

随机推荐

向日葵ubuntu19.10安装不上依赖解决办法

源链接 https blog csdn net zhang24qin article details 103611923 http www luyixian cn news show 267507 aspx 不知道哪个是原作者都放上面了
Linux向日葵重启以后连接不上解决办法

Linux重启之后向日葵连接不上 xff0c 查看log时候显示和屏幕组件有关 xff0c 获取不到屏幕组件在 etc profile d 下面创建一个脚本xrk sh vim编辑 bin bash xhost 43 wq 保存一下 ch
clickhouse的too many part问题

clickhouse踩坑记录 Yuque what DB Exception Too many partitions for single INSERT block more than 100 The limit is controlled
jumpserver DOCKER脚本报错解决方案

ERROR for koko Container 34 10761048e0bf 34 is unhealthy ERROR for celery Container 34 10761048e0bf 34 is unhealthy ERRO
ESXI 无法打开磁盘“XXX.vmdk”或其所依赖的快照磁盘之一

如果遇到断电突然VMDK嗝屁了 xff0c 这时候重启没有 lck文件把硬盘锁死还是无法启动可能需要修复硬盘 vmkfstool x check vm 103 disk 0 vmdk vmkfstool x repair vm 103 di
linux C++创建多级目录

static bool check exists const std string amp file path return access file path c str F OK 61 1 static std string get pa
[转] Linux 之 /etc/profile、~/.bash_profile 等几个文件的执行过程

原文链接在登录Linux时要执行文件的过程如下 xff1a 在刚登录Linux时 xff0c 首先启动 etc profile 文件 xff0c 然后再启动用户目录下的 bash profile bash login或 profile文件
clickhouse授权

create role xxx db readonly grant select on xxx db to xxx db readonly grant xxx db readonly to username show grants for
MYSQL docker 和 UBUNTU docker

MYSQL docker 和 UBUNTU docker sudo docker run p 3306 3306 name mysql restart 61 always privileged 61 true v raid10 mysql
pandas datetime64 转string

https stackoverflow com questions 50449453 pandas datetime64 to string You can just cast the dtype first using astype In
clion 头文件和源文件切换

H 和 CPP切换在keymap快捷键找到 related symbol
Git Cherry-pick/Git Merge/Git Rebase

原文出处 xff1a http pinkyjie com 2014 08 10 git notes part 3 Git笔记三 cherry pick merge rebase 书接上回 xff0c 直入主题 xff01 这篇继续实践剩下
STM32 No Target connected四种解决办法

文章目录一供电二 ST LINK是否接触不良三按住reset点击download四 boot0 接高电平download正常程序后 xff0c 再接回低电平 xff0c 即可烧录一供电板子一定要供电 xff01 二 ST LIN
MySQL Shell 使用报错 SyntaxError: Unexpected identifier

文章目录一问题报错二解决办法一问题报错 MySQL Shell 8 0 23 Copyright span class token punctuation span c span class token punctuation s
ESP32-C3入门教程——导读

文章目录一环境篇二基础篇三系统篇四 WiFi篇五蓝牙篇六网络篇七 IoT篇八问题篇九 ESP IDF 5 x篇十开源代码十一视频演示关于更新进度有超链接的文章是已经完成的 xff0c 可以点击跳转直接看没有超链接的文章
【科普】光谱（光学频谱）分布图及波长

一光正在发光的物体叫光源 xff0c 光源可以是天然的或人造的光在物理学上指 xff1a 能发出一定波长范围的电磁波 xff08 包括可见光与紫外线红外线 X射线等不可见光 xff09 的物体可见光是电磁波谱中人眼可以感知的部分
ESP32-C3入门教程 IoT篇①——阿里云物联网平台 EspAliYun RGB LED 实战

基于阿里云物联网平台实现ESP32 RGB彩色灯远程控制 By 小康师兄文章目录一前言二视频演示三系统框架三阿里云平台准备3 1 创建产品3 2 功能定义3 3 添加设备四 Flash 烧录 amp 运行4 1 固件文件编译
android官方技术文档翻译——Android Lint（转）

本文译自androd官方技术文档 Android Lint xff0c 原文地址 xff1a http tools android com tips lint 转自 xff1a http blog csdn net maosidiaoxia
ESP32-C3入门教程基础篇⑨——RTC 实时时钟系统时钟 time/settimeofday/gettimeofday

文章目录一前言二 RTC 三知识点 3 1 类型与结构体 3 2 time 3 3 localtime 3 4 mktime 3 5 strftime 3 6 asctime 3 7 settimeofday 四转换流程 4 1
Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务）

文章目录一前文二打开日志2 1 修改配置2 2 测试验证2 3 日志保存到本地三允许IP网段四关闭ssh 一前文基础知识请查阅 xff1a Linux系统firewalld防火墙的基本操作进阶知识请查阅 xff1a Linu

Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务）

文章目录

一、前文

二、打开日志

2.1 修改配置

2.2 测试验证

2.3 日志保存到本地

三、允许IP网段

四、关闭ssh

Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务） 的相关文章

随机推荐

热门标签

Linux系统firewalld防火墙的进阶操作（日志保存 IP网段 ssh服务）的相关文章