Я могу препятствовать тому, чтобы некоторые сообщения UFW были зарегистрированы?
Мои широковещательные сообщения маршрутизатора (отправляет к 224.0.0.1), что-то каждые сорок секунд. Это поймано UFW, который хранит запись в журнале в системном журнале:
Jan 5 3:49:02 регистрирует ядро: [1184.788900] [БЛОК UFW] IN=eth0 = MAC=01:00:5e:00:00:01:40:5a:9b:5c:9c:fd:08:00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x80 TTL=1 ID=0 DF PROTO=2
Я собираюсь настроить сервер системного журнала, который соберет сообщения из каждой из 50 машин сети. Загрязнение системного журнала с 50 сообщениями каждые сорок секунд раздражает меня, и сам маршрутизатор, к сожалению, не настраивается.
Существует ли способ предотвратить те конкретные сообщения (фильтрованный с разбивкой по источникам и место назначения), чтобы быть зарегистрированным, все еще регистрируя другие записи, которые заблокированы брандмауэром?
Да.
Для rsyslog вы можете использовать такой фильтр, как:
: msg, contains, "MAC = 01: 00: 5e: 00: 00: 01: 40: 5a: 9b: 5c: 9c: fd: 08: 00 SRC = 192.168.1.1 D" ST = 224.0.0.1 "~
Если вы поместите его перед другими правилами конфигурации, это предотвратит регистрацию сообщений в журнале. Вы можете увидеть полный пример файла конфигурации здесь .
Обратите внимание, что текст « должен быть точным совпадением, подстановочные знаки не поддерживаются. »
Для syslog-ng используйте некоторые варианты фильтров с
not message ('someregex')в вашем фильтре.
Вместо того, чтобы отключать ведение журнала, которое устраняет только симптом, вам следует исследовать причину срабатывания брандмауэра. В вашем случае ваш маршрутизатор отправляет пакеты IGMP, которые необходимы для работы многоадресной рассылки IPv4 (даже если у вас нет многоадресной маршрутизации в вашей сети, межсетевой экран IGMP нарушит локальную многоадресную рассылку, если у вас есть какие-либо переключатели отслеживания).
Пожалуйста, проверьте, выполняете ли вы какие-либо приложения, которые полагаются на многоадресную рассылку IPv4, и рассмотрите возможность разрешения протокола 2 через ваш брандмауэр.
Вы также можете установить правило в ufw, чтобы отбрасывать эти сообщения, например sudo ufw reject, с любого на 224.0.0.1 или более вероятно , если у вас уже есть набор правил, вы можете вставить его с помощью sudo ufw insert [rule no.] reject от any до 224.0.0.1 .