Solution 1 :
Le problème semble être lié à un bug comme dit dans le commentaire. Cependant, pour ceux qui ont encore du mal à obtenir la journalisation des paquets de refus de pare-feu, l'approche suivante a fonctionné pour moi :
Ce qui suit a fonctionné avec firewalld + rsyslogd
Modifier /etc/sysconfig/firewalld et mettre à jour la valeur de LogDenied à all (ou au besoin)
LogDenied=all
redémarrer le pare-feu
sudo systemctl restart firewalld
Alternativement, en utilisant la ligne de commande, on peut exécuter la commande suivante :
sudo firewall-cmd --set-log-denied all
Cela ajoute généralement des règles de journalisation juste avant les règles de rejet/abandon dans le pare-feu, comme :
LOG all -- anywhere anywhere LOG level warning prefix "IN_drop_DROP: "
LOG all -- anywhere anywhere LOG level warning prefix "FINAL_REJECT: "
Créez un fichier nommé /etc/rsyslog.d/custom_iptables.conf et ajoutez-y les déclarations suivantes :
:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop
redémarrer rsyslog
sudo systemctl restart rsyslog
Maintenant, les paquets abandonnés et rejetés seront enregistrés dans /var/log/iptables.log
Solution 2 :
Super travail, cela m'a aidé à suivre le bon chemin, j'apprécie le message.
La seule chose que j'ai remarquée, c'est que je crois que l'emplacement de LogDenied=all devrait être /etc/firewalld/firewalld.conf depuis /etc/sysconfig/firewalld est pour les options de ligne de commande de démarrage. De plus, le fichier pour rsyslog peut être mieux nommé avec un .conf, parfois les instructions d'inclusion par défaut peuvent ne pas rechercher un fichier .log.
Vraiment du bon travail VanagaS !
réf :https://firewalld.org/documentation/man-pages/firewalld.conf.html