Firewall Log alle 30 Sek. em0 1.1.1.1 zu 224.0.0.1 igmp default deny rule

[Combo]

Nach etlichem Suchen leider noch nicht fündig geworden.

Meine FW blockt und logt exakt alle 30 Sekunden obenstehenden Eintrag.
Leider bin ich in diesen Sachen ziemlich Anfänger und verstehe soweit, dass es sich um Multicast handelt und dass die Source 1.1.1.1 Cloudflare ist. Es ist mir nicht bewusst, dass ich irgendwo in meiner Umgebung Cloudflare bzw. 1.1.1.1 konfiguriert hätte.

Eine Idee, ob ich irgendwo etwas falsch eingestellt hätte bzw. wie ich das eliminieren kann?

Merci im Voraus. Christian

[franco]

Hallo Christian,

"Default deny" bedeutet dass der Traffic einen Invaliden Status hatte und deswegen geblockt wurde. Das kann bei Out of order transmissions passieren, falschen Sequenznummern oder im TCP auch falscher Flag-Reihenfolge. Alles etwas undurchsichtig...

Generell ist das kein Problem. Will man das nicht haben erstellt man eine Pass Regel für diesen Traffic mit der Advanced Option State Tracking "none".


Grüsse
Franco

[Combo]

Merci vielmals für die Erläuterung.
Ich staune, da Source 1.1.1.1 ist und ich mit Cloudflare in keiner Verbindung stehe.
Entweder löst eine mir nicht bewusste interne Config diesen Traffic aus, oder Cloudflare pingt meine öffentliche IP einfach alle 30 Sek. an?

Unklar ist mir auch, was es bedeutet, wenn im Log als 'Interface' em0 eingetragen ist. Sonst wird alles im Log mit LAN oder WAN deklariert.

Liebe Grüsse Christian

[JeGr]

Wenn hier em0 steht statt einem definierten Namen, dann könnte es sein, dass das ein Interface ist auf dem du tagged VLANs hast, der Traffic aber untagged erkannt wird. Ich bezweifle auch SEHR stark, dass DICH Cloudflare anpingt - alle 30s - sondern eher dass es andere Geräte sind, da die Ziel-IP Multicast ist. Alle 30s klingt für mich eher nach einer *Sense, die 1.1.1.1 als Gateway Check IP eingetragen hat. Warum die auf deinem WAN untagged gegen eine Multicast IP sendet - keine Ahnung. Aber das klingt eher nach einem Cluster Gateway Check.