防止特定IP地址和/或端口的Shorewall日志条目

Question

我在Debian服务器上安装了Shorewall防火墙，运行良好。在丢弃数据包时，我会像预期的那样在/var/ log /消息中获得各种日志条目，例如：

Aug 17 19:09:07 cheetah kernel: [80026654.168568] Shorewall:net2all:DROP:IN=eth0 OUT= MAC=00:30:48:8a:5c:cc:00:04:4d:de:18:c2:08:00 SRC=123.123.123.123 DST=111.111.111.111 LEN=500 TOS=0x00 PREC=0x00 TTL=121 ID=24371 PROTO=UDP SPT=500 DPT=500 LEN=480

我的服务器上没有监听端口500的任何服务。还有很多其他的条目，比如从做端口扫描的人那里获得的其他目的端口(例如，尝试在3389上连接RDP的人等等)。

我的问题是，我将如何防止这些丢弃的数据包被记录？谷歌没有提供任何帮助，我在Shorewall的网站上也找不到这方面的任何信息。我知道记录它们很重要，所以我知道是什么击中了我的系统，但我也很好奇，如果我想要的话，我会如何阻止日志记录。具体来说，我将如何防止只记录特定IP地址和/或端口(例如，防止从给定IP记录所有丢弃的数据包，或阻止所有试图连接到特定端口的丢弃数据包的日志记录)。

答案可能是在我正在考虑的/etc/shorewall/规则中加入一个明确的丢弃规则(而且我假设，既然规则是匹配的，不会发生日志记录)，但是我想在这里首先研究一下我的选项，以了解每个人的想法。

谢谢

Answer 1

增加以下规则：

DROP      123.123.123.123       111.111.111.111      udp      500

或在/etc/shorewall/interfaces中指定“黑名单”选项，并将以下行放入/etc/shorewall/blacklist：

123.123.123.123                       udp             500

还回顾了BLACKLIST_LOGLEVEL中的/etc/shorewall/shorewall.conf。