Meu roteador transmite (envia para 224.0.0.1) algo a cada quarenta segundos. Isso é capturado pelo UFW , que armazena uma entrada de log no syslog:
5 de janeiro 03:49:02 log kernel: [ 1184.788900] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:40:5a:9b:5c:9c:fd:08: 00 SRC=192.168.1.1 DST=224.0.0.1 LEN=32 TOS=0x00 PREC=0x80 TTL=1 ID=0 DF PROTO=2
Estou prestes a configurar um servidor syslog que coletará mensagens de cada uma das 50 máquinas da rede. Poluir o syslog com 50 mensagens a cada quarenta segundos me incomoda, e o próprio roteador infelizmente não é configurável.
Existe uma maneira de impedir que essas mensagens específicas (filtradas por origem e destino) sejam registradas, enquanto ainda registra outras entradas bloqueadas pelo firewall?
Sim.
Para rsyslog, você pode usar um filtro como:
Se você colocá-lo antes de outras regras de configuração, impedirá que as mensagens sejam registradas. Você pode ver um exemplo completo de um arquivo de configuração aqui .
Observe que o texto “ deve ser uma correspondência exata, curingas não são suportados. ”
Para syslog-ng, use alguma variação dos filtros , com um
not message('someregex')
em seu filtro.Em vez de desabilitar o log, que apenas corrige o sintoma, você deve investigar a causa do acionamento do firewall. No seu caso, seu roteador está enviando pacotes IGMP, que são necessários para o funcionamento do multicast IPv4 (mesmo que você não tenha nenhum roteamento multicast em sua rede, o IGMP com firewall interromperá o multicast link-local se você tiver algum switch snooping).
Verifique se você está executando algum aplicativo que depende de multicast IPv4 e considere permitir o protocolo 2 por meio de seu firewall.
Você também pode definir uma regra no ufw para descartar essas mensagens como
sudo ufw reject from any to 224.0.0.1
, ou mais provavelmente, se você já tiver um conjunto de regras, poderá inseri-lo comsudo ufw insert [rule no.] reject from any to 224.0.0.1
.