Новости
Видео
Microsoft
Windows 10
Железо
Программы
Форум

Имя пользователя:
Пароль:  
Помощь | Регистрация | Забыли пароль?  | Правила  

Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Log/Monitoring - [решено] Broadcast адреса: быть или не быть?

1 2 3 Следующая >
Ответить
Настройки темы
Log/Monitoring - [решено] Broadcast адреса: быть или не быть?

Ветеран


Сообщения: 953
Благодарности: 12

Профиль | Отправить PM | Цитировать

Давно меня тревожит вопрос по широковещательным адресам.
В логах, на пограничным файрволе (он и есть шлюз для локалки) пачками сыпаются широковещательные адреса. Собственно, фаер всех гасит. Но из за них очень сложно в логах найти важные записи, например реальные блокировки.
Вот в основном на эти адреса идут:
Код: Выделить весь код
239.255.255.250 (UDP/3702)
224.0.0.22 (IP/2)
255.255.255.255 (UDP/5678)
224.0.0.1 (IP/2) - тут инициатор адрес 0.0.0.0
адресация в сети: 192.168.1.0 (LAN).
На стороне WAN: 192.168.0.0
В сети нет DC, DHCP.
сервер win2012, клиенты win7-10.

Можно ли это отключить на клиентах, чтоб не генерировали такой трафик и не засоряли логи ?
или создать лучше дня них правило отдельно блокировки и отключить у них логирование ?
Это сообщение посчитали полезным следующие участники:

Отправлено: 09:52, 20-05-2017

 

Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать

Можно не вручную читать логи, а воспользоваться обработчиком, который настроить на
Цитата krec:
важные записи, например реальные блокировки »

Отправлено: 13:50, 20-05-2017 | #2



Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети.

Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля.


Ветеран


Сообщения: 584
Благодарности: 108

Профиль | Отправить PM | Цитировать

Может проще не не писать в лог?
Настроить логгирование нужного и всё.

Отправлено: 15:26, 20-05-2017 | #3


Ветеран


Сообщения: 953
Благодарности: 12

Профиль | Отправить PM | Цитировать

Jula0071, нет, так не получится. технически не возможно в нашем случае.

meZon, а как/что настроить то? там все в перемешку сыпается. хочу немного отсеивать, чтоб хоть можно было нагладно что то видеть, а то одни широковещательные пакеты, кстати 255.255.255.255 (UDP/5678) - от микротика как раз. через WAN порт попадает в фаер, который и гасит.

Отправлено: 23:52, 20-05-2017 | #4


Ветеран


Сообщения: 1958
Благодарности: 306

Профиль | Отправить PM | Цитировать

Для начала это мультикаст группа, так же протокол SSDP (по умолчанию порт 1900), так же сервисы UPnP (Universal Plug&Play service).

Отправлено: 12:19, 21-05-2017 | #5


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать

Цитата krec:
нет, так не получится. технически не возможно в нашем случае. »
Почему? Что это за логи такие, которые нельзя завернуть в syslog, а там обработать чем нравится?

Отправлено: 16:13, 22-05-2017 | #6


Ветеран


Сообщения: 953
Благодарности: 12

Профиль | Отправить PM | Цитировать

Jula0071,

ну syslog да, оборудование поддерживает, но технически не знаю как это все реализовать.

Отправлено: 20:02, 23-05-2017 | #7


Забанен


Сообщения: 6345
Благодарности: 1436

Профиль | Цитировать

Цитата krec:
ну syslog да, оборудование поддерживает, но технически не знаю как это все реализовать. »
Поднимаете виртуалку, на которую шлются логи по remote syslog, там поднимается обработчик логов. Обработчик логов может быть начиная от тупого скрипта, типа с
grep -v 239\.255\.255\.250 до очень дорогого Splunk.

Отправлено: 20:12, 23-05-2017 | #8


Ветеран


Сообщения: 953
Благодарности: 12

Профиль | Отправить PM | Цитировать

Jula0071, К сожалению пока не готов возится с syslog. Надо мне для начала изучать все , а потом уже перейти

Отправлено: 21:40, 23-05-2017 | #9


Ветеран


Сообщения: 953
Благодарности: 12

Профиль | Отправить PM | Цитировать

Все же решил сделать так:
сделать правило , который принудительно блокирует мильтикасты и на эту запись отключить логирование.
получится отсеивается весь этот хлам, а и в логи не пишет.
Но не знаю как синтаксис оформить..
Вот пустой бланк для составления правилы: http://images.vfl.ru/ii/1495691454/5...4/17342658.jpg
надо под отдельным фильтром гасить вот эти записи:
192.168.0.х > 224.0.0.251
192.168.1.х > 224.0.0.22
192.168.1.х > 239.255.255.250
192.168.0.х > 255.255.255.255

Вот картина из логах: http://images.vfl.ru/ii/1495692381/b...0/17342745.jpg
Я не могу понять что за сервис IP/2 , и как для него создать правило.

Отправлено: 09:07, 25-05-2017 | #10

1 2 3 Следующая >


Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Log/Monitoring - [решено] Broadcast адреса: быть или не быть?

Участник сейчас на форуме Участник сейчас на форуме Участник вне форума Участник вне форума Автор темы Автор темы Шапка темы Сообщение прикреплено

Похожие темы
Название темы Автор Информация о форуме Ответов Последнее сообщение
[решено] "не может быть сохранён, так как исходный файл не может быть прочтён" !!! nunahren Хочу все знать 4 08-01-2020 00:30
VPN - [решено] VPN - быть или не быть ? krec Сетевые технологии 4 14-04-2017 14:15
[решено] Быть или не быть? Разгонять или не разгонять? russiman Процесcоры 3 02-02-2015 09:48
Вопрос - NAP. быть или не быть ? krec Защита компьютерных систем 0 19-01-2010 17:21
быть или не быть mikesip Сетевые технологии 2 21-02-2003 12:27


« Предыдущая тема | Следующая тема »


 
Переход