Давно меня тревожит вопрос по широковещательным адресам.
В логах, на пограничным файрволе (он и есть шлюз для локалки) пачками сыпаются широковещательные адреса. Собственно, фаер всех гасит. Но из за них очень сложно в логах найти важные записи, например реальные блокировки.
Вот в основном на эти адреса идут:
239.255.255.250 (UDP/3702)
224.0.0.22 (IP/2)
255.255.255.255 (UDP/5678)
224.0.0.1 (IP/2) - тут инициатор адрес 0.0.0.0

адресация в сети: 192.168.1.0 (LAN).
На стороне WAN: 192.168.0.0
В сети нет DC, DHCP.
сервер win2012, клиенты win7-10.

Можно ли это отключить на клиентах, чтоб не генерировали такой трафик и не засоряли логи ?
или создать лучше дня них правило отдельно блокировки и отключить у них логирование ?

Можно не вручную читать логи, а воспользоваться обработчиком, который настроить на важные записи, например реальные блокировки »

Может проще не не писать (https://yandex.ru/yandsearch?clid=2186618&text=255.255.255.255%20(UDP%2F5678)&lr=213) в лог?
Настроить логгирование нужного и всё.

Jula0071, нет, так не получится. технически не возможно в нашем случае.

meZon, а как/что настроить то? там все в перемешку сыпается. хочу немного отсеивать, чтоб хоть можно было нагладно что то видеть, а то одни широковещательные пакеты, кстати 255.255.255.255 (UDP/5678) - от микротика как раз. через WAN порт попадает в фаер, который и гасит.

Для начала это мультикаст группа, так же протокол SSDP (по умолчанию порт 1900), так же сервисы UPnP (Universal Plug&Play service).

нет, так не получится. технически не возможно в нашем случае. »
Почему? Что это за логи такие, которые нельзя завернуть в syslog, а там обработать чем нравится?

Jula0071,

ну syslog да, оборудование поддерживает, но технически не знаю как это все реализовать.

ну syslog да, оборудование поддерживает, но технически не знаю как это все реализовать. »
Поднимаете виртуалку, на которую шлются логи по remote syslog, там поднимается обработчик логов. Обработчик логов может быть начиная от тупого скрипта, типа с
grep -v 239\.255\.255\.250 до очень дорогого Splunk.

Jula0071, К сожалению пока не готов возится с syslog. Надо мне для начала изучать все , а потом уже перейти

Все же решил сделать так:
сделать правило , который принудительно блокирует мильтикасты и на эту запись отключить логирование.
получится отсеивается весь этот хлам, а и в логи не пишет.
Но не знаю как синтаксис оформить..
Вот пустой бланк для составления правилы: http://images.vfl.ru/ii/1495691454/538b5ed4/17342658.jpg
надо под отдельным фильтром гасить вот эти записи:
192.168.0.х > 224.0.0.251
192.168.1.х > 224.0.0.22
192.168.1.х > 239.255.255.250
192.168.0.х > 255.255.255.255

Вот картина из логах: http://images.vfl.ru/ii/1495692381/b9eb9230/17342745.jpg
Я не могу понять что за сервис IP/2 , и как для него создать правило.

Я не могу понять что за сервис IP/2 »
Протокол IP/2 это IGMP (https://ru.wikipedia.org/wiki/%D0%A1%D0%BF%D0%B8%D1%81%D0%BE%D0%BA_%D0%BF%D1%80%D0%BE%D1%82%D0%BE%D0%BA%D0%BE%D0%BB%D0%BE%D0%B2,_% D0%B8%D0%BD%D0%BA%D0%B0%D0%BF%D1%81%D1%83%D0%BB%D0%B8%D1%80%D1%83%D0%B5%D0%BC%D1%8B%D1%85_%D0%B2_IP) .

PS Возможно, если вы скажете, какой девайс вы используете, то найдутся люди, с ним знакомые и могущие помочь в настройке.

Jula0071,
О, спасибо , а то не могу найти что это за сервис такой IP/2 )))

девайс у нас вот такой (https://www.checkpoint.com/products/1400-security-appliances/) . Просто боюсь его никто не знает )) хотя бренд раскрученный.

Ну и если быть короче, то IGMP зачем нам нужен в локалке ? чем чревата его блокировка? хотя он и так блокируется.

Ну и если быть короче, то IGMP зачем нам нужен в локалке »
iptv и подобное

получается у него нет порта? Не могу найти в описании протокола.
Мне надо создать сначала сервис такой на файрволе: http://images.vfl.ru/ii/1495705868/9a7d7cc6/17344848.jpg

Хотя не уверен, что IGMP работает по TCP. вот можно выбрать и протокол: http://images.vfl.ru/ii/1495705968/43868b5b/17344872.jpg

получается у него нет порта? »
Нет порта, это ж протокол сетевого уровня. Нет мультиплексирования.
Хотя не уверен, что IGMP работает по TCP. »
IGMP не может работать по TCP уже потому, что первый – протокол сетевого уровня, а второй – транспортного.

Jula0071, блин, теперь каким образом мне создать такой обьект?
Надо же как то обозначить?
посмотрите у меня в скринах

Type: other
А что на вкладке Advanced?

Jula0071,

Вот "other": http://images.vfl.ru/ii/1495775912/8bfac575/17352477.jpg
A вот Advanced: http://images.vfl.ru/ii/1495776000/175dfd6c/17352480.jpg

Вот "other": http://images.vfl.ru/ii/1495775912/8...5/17352477.jpg »

IP protocol: 2

все получился делать, теперь лог засоряет другой мултикаст:
http://images.vfl.ru/ii/1496305690/009fdc5a/17422857.jpg

Это WS-Discovery (SOAP over UDP).
Тоже да не пригоден для офисных локальных сетей? Он блокируется по умолчанию.

Что это за обнаружение сервисов ?