Логування відхилених пакетів

У стандартній конфігурації фаєрвола можна журналювати лише відхилені (REJECTED) пакети.

Правила, описані тут, також можна додати до fw4 за допомогою включень.

Перш ніж вмикати логування відхилених пакетів, врахуйте переваги й недоліки:

• DROPPED пакети відкидаються, тобто “викидаються” без жодного повідомлення. Відкидання пакетів не потребує багато обчислювальних ресурсів або пропускної здатності мережі. Такий підхід також краще протистоїть DoS-атакам, оскільки не надсилається жодної відповіді.

• Для порівняння, REJECTED пакети потребують більше обчислювальної потужності, оскільки клієнту надсилається відповідь. Логування відхилених пакетів також споживає ресурси процесора. Журнали можуть постійно виводитися на послідовний порт, якщо ви підключені через консоль (а не через SSH). Крім того, потрібно мати окремий пристрій для збереження логів, оскільки зберігати їх на самому маршрутизаторі не рекомендується.

Ось приклад зони WAN:

config zone
    option name 'wan'
    ...
    option log '1'
    option log_limit '10/second'

У цих налаштуваннях вхідні (INPUT) та переспрямовані (FORWARDED) пакети логуються, коли вони відхилені, і записуються в системний журнал з обмеженням 5 повідомлень на секунду. Параметр log_limit напряму відповідає розширенню limit модуля netfilter, яке визначає:

Цей модуль зіставляє пакети з обмеженою швидкістю за допомогою token bucket filter. Правило, яке використовує це розширення, спрацьовуватиме до досягнення цього ліміту. Його можна використовувати разом із ціллю LOG для обмеженого логування.

У розділі Firewall → General settings:

• Переконайтеся, що пакети відхиляються, а не відкидаються.
• Для кожного випадку вибирайте reject, а не drop.

У розділі Firewall Zones:

• → Advanced settings
• Позначте [x] Увімкнути логування для цієї зони
• Вкажіть значення для Обмежити кількість повідомлень журналу.

Використовуйте вивід nftables, щоб зрозуміти, які правила створюються згідно з конфігурацією фаєрвола.

fw4 print