¿Puedo evitar que se registren algunos de los posts UFW?

Mi router difunde (envía a 224.0.0.1) algo cada cuarenta segundos. Esto es capturado por UFW que almacena una input de logging en syslog:

Jan 5 03:49:02 kernel de logging: [1184.788900] [BLOQUE UFW] IN = eth0 OUT = MAC = 01: 00: 5e: 00: 00: 01: 40: 5a: 9b: 5c: 9c: fd: 08: 00 SRC = 192.168.1.1 DST = 224.0.0.1 LEN = 32 TOS = 0x00 PREC = 0x80 TTL = 1 ID = 0 DF PROTO = 2

Estoy a punto de configurar un server syslog que recogerá posts de cada una de las 50 máquinas de la networking. Contaminar el syslog con 50 posts cada cuarenta segundos me molesta, y el propio enrutador por desgracia no es configurable.

¿Hay alguna forma de evitar que esos posts en particular (filtrados por origen y destino) se registren, mientras se siguen registrando otras inputs que son bloqueadas por el cortafuegos?

Sí.

  1. Para rsyslog, puede utilizar un filter como:

    : msg, contiene "MAC = 01: 00: 5e: 00: 00: 01: 40: 5a: 9b: 5c: 9c: fd: 08: 00 SRC = 192.168.1.1 D ST = 224.0.0.1"

    Si lo coloca antes de otras reglas de configuration, evitará que se registren los posts. Puede ver un ejemplo completo de un file de configuration aquí .

    Tenga en count que el text " debe ser una coincidencia exacta, comodines no son compatibles. "

  2. Para syslog-ng, utilice alguna variación de los filters , con un not message('someregex') en su filter.

En lugar de desactivar el logging, que sólo soluciona el síntoma, debe investigar la causa de la activación del cortafuegos. En su caso, su enrutador está enviando packages IGMP, los cuales son necesarios para que la multidifusión IPv4 funcione (incluso si no tiene ningún routing multicast en su networking, el firewall IGMP romperá la interconnection local si tiene algún conmutador).

Compruebe si está ejecutando aplicaciones que dependen de la multidifusión IPv4 y considere permitir el protocolo 2 a través de su cortafuegos.