Назад | Перейти на главную страницу

Могу ли я запретить регистрацию некоторых сообщений UFW?

Мой маршрутизатор передает (отправляет на 224.0.0.1) что-то каждые сорок секунд. Это поймано UFW который хранит запись журнала в системном журнале:

5 января 03:49:02 журнал ядра: [1184.788900] [UFW BLOCK] IN = eth0 OUT = MAC = 01: 00: 5e: 00: 00: 01: 40: 5a: 9b: 5c: 9c: fd: 08: 00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 32 TOS = 0x00 PREC = 0x80 TTL = 1 ID = 0 DF PROTO = 2

Я собираюсь настроить сервер системного журнала, который будет собирать сообщения с каждой из 50 машин сети. Меня раздражает загрязнение системного журнала 50 сообщениями каждые сорок секунд, а сам маршрутизатор, к сожалению, не настраивается.

Есть ли способ предотвратить регистрацию этих конкретных сообщений (отфильтрованных по источнику и получателю), при этом сохраняя регистрацию других записей, заблокированных брандмауэром?

Да.

  1. Для rsyslog вы можете использовать такой фильтр, как:

    : msg, содержит, "MAC = 01: 00: 5e: 00: 00: 01: 40: 5a: 9b: 5c: 9c: fd: 08: 00 SRC = 192.168.1.1 D ST = 224.0.0.1" ~

    Если поставить перед другие правила конфигурации, это предотвратит регистрацию сообщений. Вы можете увидеть полный пример файла конфигурации Вот.

    Обратите внимание, что текст «должно быть точным совпадением, подстановочные знаки не поддерживаются.

  2. Для syslog-ng используйте некоторые вариации фильтров, с not message('someregex') в вашем фильтре.

Вместо того, чтобы отключать ведение журнала, которое устраняет только симптом, вам следует исследовать причину срабатывания брандмауэра. В вашем случае ваш маршрутизатор отправляет пакеты IGMP, которые необходимы для работы многоадресной рассылки IPv4 (даже если у вас нет многоадресной маршрутизации в вашей сети, межсетевой экран IGMP нарушит локальную многоадресную рассылку, если у вас есть какие-либо переключатели отслеживания).

Пожалуйста, проверьте, выполняете ли вы какие-либо приложения, которые полагаются на многоадресную передачу IPv4, и рассмотрите возможность разрешения протокола 2 через ваш брандмауэр.

Вы также можете установить правило в ufw для удаления этих сообщений, например sudo ufw reject from any to 224.0.0.1или, что более вероятно, если у вас уже есть набор правил, вы можете вставить его с помощью sudo ufw insert [rule no.] reject from any to 224.0.0.1.