|
Broadcast адреса: быть или не быть?
Давно меня тревожит вопрос по широковещательным адресам.
В логах, на пограничным файрволе (он и есть шлюз для локалки) пачками сыпаются широковещательные адреса. Собственно, фаер всех гасит. Но из за них очень сложно в логах найти важные записи, например реальные блокировки. Вот в основном на эти адреса идут: Код:
239.255.255.250 (UDP/3702)На стороне WAN: 192.168.0.0 В сети нет DC, DHCP. сервер win2012, клиенты win7-10. Можно ли это отключить на клиентах, чтоб не генерировали такой трафик и не засоряли логи ? или создать лучше дня них правило отдельно блокировки и отключить у них логирование ? |
Можно не вручную читать логи, а воспользоваться обработчиком, который настроить на
Цитата:
|
Может проще не не писать в лог?
Настроить логгирование нужного и всё. |
Jula0071, нет, так не получится. технически не возможно в нашем случае.
meZon, а как/что настроить то? там все в перемешку сыпается. хочу немного отсеивать, чтоб хоть можно было нагладно что то видеть, а то одни широковещательные пакеты, кстати 255.255.255.255 (UDP/5678) - от микротика как раз. через WAN порт попадает в фаер, который и гасит. |
Для начала это мультикаст группа, так же протокол SSDP (по умолчанию порт 1900), так же сервисы UPnP (Universal Plug&Play service).
|
Цитата:
|
Jula0071,
ну syslog да, оборудование поддерживает, но технически не знаю как это все реализовать. |
Цитата:
grep -v 239\.255\.255\.250 до очень дорогого Splunk. |
Jula0071, К сожалению пока не готов возится с syslog. Надо мне для начала изучать все , а потом уже перейти
|
Все же решил сделать так:
сделать правило , который принудительно блокирует мильтикасты и на эту запись отключить логирование. получится отсеивается весь этот хлам, а и в логи не пишет. Но не знаю как синтаксис оформить.. Вот пустой бланк для составления правилы: http://images.vfl.ru/ii/1495691454/5...4/17342658.jpg надо под отдельным фильтром гасить вот эти записи: 192.168.0.х > 224.0.0.251 192.168.1.х > 224.0.0.22 192.168.1.х > 239.255.255.250 192.168.0.х > 255.255.255.255 Вот картина из логах: http://images.vfl.ru/ii/1495692381/b...0/17342745.jpg Я не могу понять что за сервис IP/2 , и как для него создать правило. |
|
Jula0071,
О, спасибо , а то не могу найти что это за сервис такой IP/2 ))) девайс у нас вот такой . Просто боюсь его никто не знает )) хотя бренд раскрученный. Ну и если быть короче, то IGMP зачем нам нужен в локалке ? чем чревата его блокировка? хотя он и так блокируется. |
Цитата:
|
получается у него нет порта? Не могу найти в описании протокола.
Мне надо создать сначала сервис такой на файрволе: http://images.vfl.ru/ii/1495705868/9...6/17344848.jpg Хотя не уверен, что IGMP работает по TCP. вот можно выбрать и протокол: http://images.vfl.ru/ii/1495705968/4...b/17344872.jpg |
|
Jula0071, блин, теперь каким образом мне создать такой обьект?
Надо же как то обозначить? посмотрите у меня в скринах |
Type: other
А что на вкладке Advanced? |
Jula0071,
Вот "other": http://images.vfl.ru/ii/1495775912/8...5/17352477.jpg A вот Advanced: http://images.vfl.ru/ii/1495776000/1...c/17352480.jpg |
Цитата:
|
все получился делать, теперь лог засоряет другой мултикаст:
http://images.vfl.ru/ii/1496305690/0...a/17422857.jpg Это WS-Discovery (SOAP over UDP). Тоже да не пригоден для офисных локальных сетей? Он блокируется по умолчанию. Что это за обнаружение сервисов ? |
Он редко когда нужен вне пределов локалки. Используют его в основном сетевые принтеры-сканеры, вернее, их потенциальные клиенты при поиске и подключении.
Раз блокируется и у вас всё хорошо, то этот функционал вам не нужен. В чём проблема-то? |
Jula0071,
Цитата:
А SSDP тоже самое ? http://images.vfl.ru/ii/1496315894/4...d/17424946.jpg |
krec, ну если обнаружение в сети не нужно, то можете блокировать
|
freese, в какой сети то?
это пограничный файрволл, с LAN на WAN. в локалке ничего не блокируется. эти запросы идут в интернет. |
Цитата:
Вот тут хорошо разбирается, как это работает https://habrahabr.ru/post/279969/ |
Цитата:
|
| Время: 22:45. |
Время: 22:45.
© OSzone.net 2001-