とあるIPからのアクセスをfirewalldで制限していたけど全然ログにでない。設定が必要だった。
拒否したアクセスをログに記録。
※デフォルトはoff。設定値はall、unicast、broadcast、multicast、offから指定する。
※設定の際はリロード処理が入るので、永続オプション(--permanent)入れていない設定がある場合は注意。
# firewall-cmd --set-log-denied=unicast success
設定の確認。
# firewall-cmd --get-log-denied unicast
ログに出ていることを確認する。
# journalctl -f または # tail -f /var/log/messages
下記のようなアクセス拒否のゾーン設定を入れた場合は、IN_drop_DROP:でログに記録されます。
# firewall-cmd --zone=drop --add-source=xxx.xxx.xxx.xxx # firewall-cmd --zone=drop --permanent --add-source=xxx.xxx.xxx.xxx
しばらくログ眺めていると、FINAL_REJECT:で結構ログに書き込まれるので、IP調べると国外ばかり。ポートは23や445、8080、3389などなど。セキュリティ対策はしっかりと!
