Broadcasts aus dem Log filtern

Moderator: Securepoint

Gesperrt
CHoell
Beiträge: 67
Registriert: Mo 09.03.2009, 10:49

Broadcasts aus dem Log filtern

Beitrag von CHoell »

Also wie auf der Schulung gelernt habe ich eine Netzwerkgruppe Broadcasts.
In dieser Gruppe ist für Broadcasts die auf eth1 reinkommen ein Host Namens BroadEth1 mit 192.168.1.255/32 am firewall-internal.

Dann eine Regel die sagt
Von Internal-Network nach Broadcasts mit ANY reject log short

Damit habe ich die Broadcasts aus dem Netz gelb im Log. Also geht es und ich kann sie dropen und nicht mehr loggen. Soweit so gut.

Nun habe ich neuerdings umgestellt um Multipath Routing.
eth2 ist zu pppp2 geworden.
Nun ist das aber so, dass dort kein DSL Modem dranhängt sondern ein WLAN AP den ein Provider bei mir auf dem Dach hat. Daher hängt eth2 und der AP im Netz.
Einwahl etc. geht prima.
Nur im Log nervt dass ich immer auf eth2 Broadcasts habe. (Was ja logisch ist)

Also habe ich in die Gruppe Broadcasts ein weiteres Objekt mit Namen BroadEth2 gelegt auch mit 192.168.1.255/32 aber an firewall-dmz1.

Aber es wird nicht gelb.

Dies ist die Meldung:

Aktion: Firewall DROP
Eingehendes Interface: eth2
Ausgehendes Interface:
Quell Adresse: 192.168.1.101
Ziel Adresse: 192.168.1.255
Quellport: 138
Zielport: 138
Protokoll UDP
TCP Flags

Was kann ich tun um die nervigen Einträge los zu werden?
Liegt es dran das eth2 zu pppp2 geworden ist?

Chris

achim
Beiträge: 255
Registriert: Fr 09.03.2007, 11:42
Wohnort: Flensburg
Kontaktdaten:

Beitrag von achim »

so spontan würde ich sagen, dass da wtn kann.
Wenn das Interface zu ppp(p?)2 geworden ist, müssten auch die loggs ppp2 und nicht eth2 anzeigen:

Jun 23 15:33:44 172.17.2.1 Firewall DROP (default) IN=ppp40 OUT= MAC= SRC=1.2.3.4 DST=a.b.c.d LEN=131 TOS=0x00 PREC=0x00 TTL=117 ID=55937 PROTO=UDP SPT=51357 DPT=45454 LEN=111

Die Regel: LAN-ppp2 -> BroadEth2 -> any -> drop (kein logging)

sollte dann eigentlich greifen....
Aber genau solch ein Szenario habe ich hier nicht zum nachstellen.

Gesperrt