1. Уважаемые посетители форума! Прежде чем помещать в форум новое сообщение о возникшей у Вас проблеме, пожалуйста, поищите ее решение в ответах на часто задаваемые вопросы FAQ, или воспользуйтесь поиском по форуму.
  2. Форум не является системой моментального ответа на вопросы. Если Вам необходимо получить ответ на ваш вопрос в кратчайшие сроки - пожалуйста, позвоните в ближайший к Вам региональный офис D-Link.
faq обучение настройка
Текущее время: Ср июл 23, 2025 21:40

Сообщения без ответов | Активные темы


Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 
  Предыдущая тема | Следующая тема 
Автор Сообщение
allalone
СообщениеДобавлено: Пн дек 17, 2012 00:55 
Не в сети

Зарегистрирован: Вт янв 13, 2009 19:03
Сообщений: 68
Подскажите с таким вопросом: стоит DFL-800, в логах огномное (около 10-15 пакетов с скекунду) с такими данными:

Код:
12-16-2012   23:49:11   Local0.Warning   192.168.10.1   [2012-12-16 22:50:49] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.18.177 destip=224.0.0.2 iphdrlen=24 ipproto=IGMP ipdatalen=8 type=LEAVE_GROUP maxresp=0 groupaddr=239.192.152.143
12-16-2012   23:49:11   Local0.Warning   192.168.10.1   [2012-12-16 22:50:49] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.17.97 destip=224.0.0.2 iphdrlen=24 ipproto=IGMP ipdatalen=8 type=LEAVE_GROUP maxresp=0 groupaddr=239.192.152.143
12-16-2012   23:49:11   Local0.Warning   192.168.10.1   [2012-12-16 22:50:49] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.18.177 destip=224.0.0.2 iphdrlen=24 ipproto=IGMP ipdatalen=8 type=LEAVE_GROUP maxresp=0 groupaddr=239.192.152.143
12-16-2012   23:49:11   Local0.Warning   192.168.10.1   [2012-12-16 22:50:49] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.17.97 destip=224.0.0.2 iphdrlen=24 ipproto=IGMP ipdatalen=8 type=LEAVE_GROUP maxresp=0 groupaddr=239.192.152.143


Подскажите, что это за пакеты и можно ли как-то отключить их логировние, т.к. размер лог файла на SYSLOG сервере выростает до 5 гигабайт за пол дня.
Спасибо.

Вот еще Логи:
Код:
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.43.24 destip=224.0.0.22 iphdrlen=24 ipproto=IGMP ipdatalen=24 type=34 maxresp=0 groupaddr=0.0.0.2
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.39.157 destip=224.0.0.251 ipproto=UDP ipdatalen=47 srcport=5353 destport=5353 udptotlen=47
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.39.157 destip=224.0.0.251 ipproto=UDP ipdatalen=47 srcport=5353 destport=5353 udptotlen=47
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.10.137 destip=224.0.0.22 iphdrlen=24 ipproto=IGMP ipdatalen=16 type=34 maxresp=0 groupaddr=0.0.0.1
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.39.157 destip=224.0.0.251 ipproto=UDP ipdatalen=47 srcport=5353 destport=5353 udptotlen=47
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.39.157 destip=224.0.0.251 ipproto=UDP ipdatalen=47 srcport=5353 destport=5353 udptotlen=47
12-17-2012   00:19:44   Local0.Warning   192.168.10.1   [2012-12-16 23:20:19] FW: RULE: prio=3 id=06000051 rev=1 event=ruleset_drop_packet action=drop rule=Default_Rule recvif=wan1_soborka srcip=10.16.39.157 destip=224.0.0.251 ipproto=UDP ipdatalen=47 srcport=5353 destport=5353 udptotlen=47
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Пн дек 17, 2012 05:04 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Обычные логи дропов, в вашем случае - IGMP

Отключить логгирование:
System > Log and event receivers > your_logger > Message exceptions
Добавляйте 60/RULE
Также, если вы ведете именно логгирование важных событий, можно игнорировать 6/CONN, 10/DROP, 2/ALG, ну и все что вам не нужно и мешает в логах
После таких настроек, даже MemLog будет вполне читаемым

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
allalone
СообщениеДобавлено: Пн дек 17, 2012 13:13 
Не в сети

Зарегистрирован: Вт янв 13, 2009 19:03
Сообщений: 68
Спасибо, сделаю сегодня и отпишусь.
Вернуться наверх
 Профиль  
 
allalone
СообщениеДобавлено: Пн дек 17, 2012 13:39 
Не в сети

Зарегистрирован: Вт янв 13, 2009 19:03
Сообщений: 68
Помогло, только после того, как добавил правило 70 (IP_PROTO), "засаренность" лога пропала.
Спасибо за помощь
Вернуться наверх
 Профиль  
 
MTRX
СообщениеДобавлено: Пн дек 17, 2012 13:51 
Не в сети

Зарегистрирован: Пт июл 20, 2007 19:07
Сообщений: 8629
Откуда: Москва
А 42 почему не устроило?

_________________
С уважением, Matrox.
DFL, HPE, QNAP, Netgear и прочее железо...
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Пн дек 17, 2012 13:56 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
А я такими "засоренными" логами хулиганов, сканирующих сеть, отлавливаю...
Еще вот скрипт для автоматизации напишу и вообще красава буду :)
Вернуться наверх
 Профиль  
 
barracuda8
СообщениеДобавлено: Пн дек 17, 2012 14:09 
Не в сети

Зарегистрирован: Ср сен 26, 2012 05:28
Сообщений: 300
allalone писал(а):
Подскажите, что это за пакеты


Это широковещательные пакеты:

Цитата:
Multicast IP-адрес. Технология IP Multicast использует адреса с 224.0.0.0 до 239.255.255.255. Поддерживается статическая и динамическая адресация. Примером статических адресов являются 224.0.0.1 — адрес группы, включающей в себя все узлы локальной сети, 224.0.0.2 — все маршрутизаторы локальной сети. Диапазон адресов с 224.0.0.0 по 224.0.0.255 зарезервирован для протоколов маршрутизации и других низкоуровневых протоколов поддержки групповой адресации.

Например для IPTV, чтобы не повторять один и тот же пакет разным подписчикам, пакет отправляется всем сразу.
Вернуться наверх
 Профиль  
 
allalone
СообщениеДобавлено: Пн дек 17, 2012 22:05 
Не в сети

Зарегистрирован: Вт янв 13, 2009 19:03
Сообщений: 68
MTRX писал(а):
А 42 почему не устроило?

Не помогло это правило.

barracuda8 писал(а):
allalone писал(а):
Подскажите, что это за пакеты


Это широковещательные пакеты:

Цитата:
Multicast IP-адрес. Технология IP Multicast использует адреса с 224.0.0.0 до 239.255.255.255. Поддерживается статическая и динамическая адресация. Примером статических адресов являются 224.0.0.1 — адрес группы, включающей в себя все узлы локальной сети, 224.0.0.2 — все маршрутизаторы локальной сети. Диапазон адресов с 224.0.0.0 по 224.0.0.255 зарезервирован для протоколов маршрутизации и других низкоуровневых протоколов поддержки групповой адресации.

Например для IPTV, чтобы не повторять один и тот же пакет разным подписчикам, пакет отправляется всем сразу.

Спасибо !
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Вт дек 18, 2012 05:56 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
42 (IGMP) не помогло т.к. правила IGMP были не настроены, соответственно DFL просто дропает данные пакеты по стандартному правилу 60 (RULE). Наличие большого количества записей типа 70 (IP_PROTO) - отдельный вопрос.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
allalone
СообщениеДобавлено: Вс дек 28, 2014 02:12 
Не в сети

Зарегистрирован: Вт янв 13, 2009 19:03
Сообщений: 68
danilovav писал(а):
42 (IGMP) не помогло т.к. правила IGMP были не настроены, соответственно DFL просто дропает данные пакеты по стандартному правилу 60 (RULE). Наличие большого количества записей типа 70 (IP_PROTO) - отдельный вопрос.


Подскажите, а стоит ли настраивать правила для IGMP ? Или можно без них работать.
Вернуться наверх
 Профиль  
 
danilovav
СообщениеДобавлено: Вт янв 13, 2015 00:47 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Если вам не нужен IGMP (IPTV), то конечно, не настраивайте.
Если напрягают логи от широковещания, настройте игнорирование как было описано выше.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение
Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  Страница 1 из 1
  [ Сообщений: 11 ] 

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 329

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB