Drop lokale Multicast?

Started by Zeitkind, August 23, 2015, 10:54:26 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
August 23, 2015, 10:54:26 AM
Moin.
Mal 'ne Frage: Warum logt opnsense eigentlich den ganzen Multicast-Krempel für das *lokale* Subnetz? Oder hab ich da was übersehen? Also vor allem UDP- und IGMP-Pakete an 224.0.0.1, .251, .252 etc. sowie Lan.255 und 255.255.255.255?
Klar, is nett zu sehen, was so rumspringt im Netz, aber *lokale* Broadcasts sollten doch keinen Paketfilter triggern, denn die sind ja auch nur für das lokale Netz gedacht und sollen auch gar nicht geroutet werden. Wozu also ins Log? Gleiches gälte auch für ffx2::/16 und ggf. ffx5::/16 etc. (link local und site-local).
Ob nu z.B. ein Zeroconf-Dämon auf dem Router horcht und diese Pakete regulär verarbeitet oder nicht spielt ja eigentlich gar keine Rolle, denn diese Pakete sind normaler lokaler Verkehr und sollten vom Router einfach ignoriert werden, auch wenn er selbst keine Verwendung dafür hat. So müllen sie nur das Log voll.
August 24, 2015, 08:25:46 AM #1
Ich glaube pf kommt vor dem Routing, deshalb schon der Block. Welche Regel blockt dieses denn, die "drop all"? (Zu sehen beim Klick auf X links in der Tabelle.)
August 24, 2015, 10:06:01 AM #2
Tjo.. was soll mir z.B.
"@51 block drop in log on ! re0 inet from 192.168.x.0/24 to any"
sagen? ^^
August 24, 2015, 11:51:16 AM #3
Ist das ein OPT Netz?
August 24, 2015, 03:45:56 PM #4
Nö. r0 is LAN, r1 is WAN, r2 is LAN2/OPT, r3 is LAN3/OPT usw.
Aber.. hatten einen Zahlendreher bei VLANs an einer Switch und deshalb schlugen teilweise martian pakets auf die Interfaces... Is mir nur nicht gleich aufgefallen. Ergo: Konfigurationsfehler. Zwar nicht an der Firewall, aber halt bei den VLANs... *grummel*
August 24, 2015, 04:36:42 PM #5
Macht nichts, Hauptsache Fortschritt. :)
August 25, 2015, 03:29:27 PM #6
Naja, die ganzen IPv4-UDP-Broascasts sind nu weg. Was bleibt sind *sehr* viele IGMP-Pakete, egal ob von Switches oder Kameras etc. Die meisten werden durchgelassen - aber gelogt. Wo?

Ebenfalls geblockt und gelogt werden z.B.
[fe80::217:f2ff:fe03:9693]:5353    --> [ff02::fb]:5353      UDP
ZeroConf-Pakete bei IPv6. Gab es mal bei pfsense:
https://forum.pfsense.org/index.php?topic=95587.0
Gleiches gilt wohl auch für SSDP und NDP. Wäre nett, wenn man den Krempel noch aus dem Log kriegt. mDNS & Co. sind ja i.d.R. lokal erlaubte Protokolle und nicht des Loggens würdig, egal ob man die blockt oder einfach still verwirft.
Print
Go Up Pages1
User actions