FireHol溢出日志

Question

我不断地遇到Firehol，像这样的消息淹没了我的Syslog。

Dec 21 23:28:24 ruby kernel: [397194.848618] PASS-unknown:IN=br0 OUT=eth4 MAC=<----some----> SRC=192.168.40.78 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=63 ID=60844 DF PROTO=TCP SPT=51274 DPT=80 WINDOW=32940 RES=0x00 ACK FIN URGP=0
Dec 21 23:30:54 ruby kernel: [397344.273426] IN-InetZiggo:IN=eth4 OUT= MAC=<----some----> SRC=71.192.24.195 DST=y.y.y.y LEN=40 TOS=0x00 PREC=0x00 TTL=241 ID=29253 PROTO=TCP SPT=52855 DPT=51300 WINDOW=0 RES=0x00 RST URGP=0
Dec 21 23:31:44 ruby kernel: [397394.815414] OUT-InetZiggo:IN= OUT=eth4 SRC=y.y.y.y DST=x.x.x.x LEN=132 TOS=0x00 PREC=0x00 TTL=64 ID=7530 DF PROTO=TCP SPT=993 DPT=35891 WINDOW=252 RES=0x00 ACK PSH FIN URGP=0

其中x.x是internet上的有效IP，y是我自己的IP，我的lan是192.168.40.0/24

我有这样的Firehol型配置，为简洁起见，简称；

version 6

FIREHOL_LOG_MODE = "ULOG"
FIREHOL_LOG_LEVEL = "0"

以及像这样的界面；

interface eth4 InetZiggo
        policy drop
        server all reject
        server SSH              accept
        server dns              accept

        client  all             accept

interface br0 Bridge
        client all      accept
        server all      accept


router br2internet inface br0 outface eth4
        masquerade
        client all      accept
        server all      accept

因此，我希望不会看到这些日志消息，但我就是无法摆脱它们。据我所知，它们被正确地删除或接受。第一个条目是连接到网站的局域网机器，为什么要记录？我是不是遗漏了什么？这在版本5中从未发生过。

具体的问题:为什么Firehol要记录这些，它们是什么意思，如果它们是无害的，我如何关闭它？

Answer 1

默认情况下，FireHOL会记录所有linux连接跟踪器认为不属于任何连接的数据包，也不会与防火墙中的任何规则匹配。

内核连接跟踪器保存所有活动连接的列表。作为现有连接一部分的数据包被标记为ESTABLISHED。不属于现有连接的数据包被标记为NEW。

在许多情况下，连接跟踪器会在接收相关数据包之前清除此列表。在这种情况下，几毫秒前还是现有连接(ESTABLISHED)一部分的数据包现在不是(并且它们显示为NEW)。

FireHOL会记录这些与防火墙规则不匹配的NEW数据包。

要删除TCP ACK+FIN日志( TCP连接关闭消息)，请在firehol.conf的顶部设置以下内容：

FIREHOL_DROP_ORPHAN_TCP_ACK_FIN=1

要删除INVALID日志，请设置以下内容：

FIREHOL_LOG_DROP_INVALID=0

INVALID是数据包的另一种状态，由内核连接跟踪器设置。

其余数据包应该被记录下来，因为它们将是某些东西不能正常工作的唯一指示。

使用firehol，您可以设置这些日志的速率。默认速率为：

FIREHOL_LOG_FREQUENCY="1/second"
FIREHOL_LOG_BURST="5"

将它们设置为您认为适合您的任何内容。