5.17. 拒否されたパケットに対するロギングの設定
firewalld に LogDenied オプションを使用すると、拒否されたパケットに単純なロギングメカニズムを追加できます。対象となるのは、拒否または破棄されるパケットになります。ログの設定を変更するには、/etc/firewalld/firewalld.conf ファイルを編集するか、コマンドラインまたは GUI 設定ツールを使用します。
LogDenied を有効にすると、デフォルトルールの INPUT チェイン、FORWARD チェイン、および OUTPUT チェインの reject ルールおよび drop ルールと、ゾーンの最後の reject ルールおよび drop ルールの直前に、ロギングルールが追加されます。この設定に使用できる値は、all、unicast、broadcast、マルチキャスト、および off です。デフォルト設定は off です。ユニキャスト、ブロードキャスト、および マルチキャスト の設定では、pkttype 一致を使用してリンク層パケットタイプを照合します。すべての で、すべて のパケットがログに記録されます。
firewall-cmd を使用して実際の
LogDenied 設定を一覧表示するには、root で以下のコマンドを実行します。
~]# firewall-cmd --get-log-denied
offLogDenied 設定を変更するには、root で以下のコマンドを実行します。
~]# firewall-cmd --set-log-denied=all
successfirewalld GUI 設定ツールで LogDenied 設定を変更するには、firewall-config を起動し、Options メニュー をクリックし、 を選択します。LogDenied ウィンドウが表示されます。メニューから新しい LogDenied 設定を選択し、OK をクリックします。
