forum.lissyara.su

Всем доброго времени суток.
Имеется шлюз на freeBSD 12.2-RELEASE
До недавнего времени, когда в компании был один провайдер, в auth.log сыпалась вся инфа об атаках по ssh на сервер.
Она использовалась для вытаскивания оттуда ip адресов атакующих с последующим добавлением их в таблицу, которую использует фаервол (pf) для блокировки. В компании было принято решение организовать резервное подключение ко второму провайдеру. На сервер была добавлена вторая внешняя сетевая карта. После её настройки файл auth.log оказался пуст (кроме инфы о подключении по ssh из локалки). Т. е. сервер перестал записывать всю инфу об атаках из-вне. Как только убираю настройки со второй карточки, то логи опять появляются.
Подскажите пж., куда копнуть?
Спасибо.

Скорее всего ssh не "слушает" резервный канал. Другие причины такого поведения даже сложно представить.

А это не подразумевает, что ssh должен слушать везде?
ListenAddress 0.0.0.0

Подразумевает, но если при активности какого-то интерфейса нету логов, значит либо выключается логгирование (странно), либо выключаете ssh (тоже странно), либо не слушается интерфейс.
Ну, либо вы чего-то не договариваете, например, делаете какие-то дополнительные действия.

skeletor писал(а): ↑

2021-05-05 15:27:09

либо вы чего-то не договариваете

Да. Может быть не договариваю. Это тестовый сервер. Поднят был для проверки наличия проблемы (рабочий трогать не стал, убрал настройки второй сетевой внешней карточки чтоб логи велись). Проблема повторилась.

skeletor писал(а): ↑

2021-05-05 15:27:09

либо выключаете ssh

Зачем?
У меня вопрос к сообществу:
если у кого организован шлюз с двумя провайдерами - всё ли нормально с логированием SSH в auth.log?

Не задавайте мне вопрос "зачем вам отключать ssh", я вам говорю варианты, когда такое может быть. У меня 2 провайдера и всё отлично логгируется. Другое дело, что у вас пакеты могут уходить через default gw, а не оттуда откуда он пришёл. Тогда да, в логах будет пусто, так как не установится handshake. Но это и так понятно.