Solución 1:
El problema parece estar relacionado con un error como se dice en el comentario. Sin embargo, para aquellos que todavía tienen problemas para obtener el registro de los paquetes de denegación del firewall, el siguiente enfoque funcionó para mí:
Lo siguiente funcionó con firewalld + rsyslogd
Editar /etc/sysconfig/firewalld y actualice el valor para LogDenied a all (o según sea necesario)
LogDenied=all
reiniciar cortafuegos
sudo systemctl restart firewalld
Alternativamente, usando la línea de comando, uno puede ejecutar el siguiente comando:
sudo firewall-cmd --set-log-denied all
Por lo general, esto agrega reglas de registro justo antes de las reglas de rechazo/caída en el firewall, algo como:
LOG all -- anywhere anywhere LOG level warning prefix "IN_drop_DROP: "
LOG all -- anywhere anywhere LOG level warning prefix "FINAL_REJECT: "
Crea un archivo llamado /etc/rsyslog.d/custom_iptables.conf y agréguele las siguientes declaraciones:
:msg,contains,"_DROP" /var/log/iptables.log
:msg,contains,"_REJECT" /var/log/iptables.log
& stop
reiniciar rsyslog
sudo systemctl restart rsyslog
Ahora los paquetes descartados y rechazados se registrarán en /var/log/iptables.log
Solución 2:
Impresionante trabajo, esto me ayudó a ir por el camino correcto, agradezco la publicación.
Lo único que noté es que creo que la ubicación de LogDenied=all debe ser /etc/firewalld/firewalld.conf desde /etc/sysconfig/firewalld es para las opciones de línea de comandos de inicio. Además, es mejor nombrar el archivo para rsyslog con .conf; a veces, es posible que las declaraciones de inclusión predeterminadas no busquen un archivo .log.
Muy buen trabajo VanagaS!
ref:https://firewalld.org/documentation/man-pages/firewalld.conf.html