Log parefeu UFW

jul · Juin 20, 2018, 7:43am

Bonjour,
Dans mes logs ufw j’ai des lignes qui reviennent souvent et font gonfler les logs :

Jun 20 08:35:54 Bureau kernel: [ 1010.199690] [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:08:00:27:4b:3e:ae:86:dd SRC=fe80:0000:0000:0000:58fd:fcd3:9e72:84f2 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=158677 PROTO=UDP SPT=8612 DPT=8612 LEN=24 

Jun 20 08:35:54 Bureau kernel: [ 1010.199731] [UFW BLOCK] IN=eth0 OUT= MAC=33:33:00:00:00:01:08:00:27:4b:3e:ae:86:dd SRC=fe80:0000:0000:0000:58fd:fcd3:9e72:84f2 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=51310 PROTO=UDP SPT=8612 DPT=8610 LEN=24 
 
Jun 20 08:37:37 Bureau kernel: [ 1112.838439] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:44:ce:7d:f1:ae:f0:08:00 SRC=192.168.23.1 DST=224.0.0.1 LEN=28 TOS=0x10 PREC=0x80 TTL=1 ID=25713 PROTO=2

Jun 20 08:37:37 Bureau kernel: [ 1112.838838] [UFW BLOCK] IN=eth0 OUT= MAC=01:00:5e:00:00:01:44:ce:7d:f1:ae:f0:08:00 SRC=172.16.255.254 DST=224.0.0.1 LEN=28 TOS=0x10 PREC=0x80 TTL=1 ID=25714 PROTO=2 

Jun 20 08:50:20 Bureau kernel: [ 1875.703688] [UFW BLOCK] IN=eth0 OUT= MAC=78:24:af:88:93:60:b8:27:eb:f8:79:ca:08:00 SRC=192.168.23.6 DST=192.168.23.2 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=9281 DF PROTO=UDP SPT=137 DPT=49989 LEN=70 
 
Jun 20 09:06:56 Bureau kernel: [ 2872.069851] [UFW BLOCK] IN=eth0 OUT= MAC= SRC=192.168.23.2 DST=224.0.0.251 LEN=32 TOS=0x00 PREC=0xC0 TTL=1 ID=0 DF PROTO=2

J’aimerai savoir à quoi elles correspondent et surtout comment s’en débarrasser. Visiblement, il s’agit de protocoles réseau multicast (assez flou pour moi).
Pour info :
192.168.23.1 -> box (routeur)
192.168.23.2 -> pc debian
192.168.23.6 -> rpi raspbian

Dois-je mettre des règles pour autoriser tout ça ?

grandtoubab · Juin 20, 2018, 8:08am

Salut
Lister l’utilisation des ports

netstat -paunt

Si ça https://www.speedguide.net/port.php?port=8612

est exacte

il y aurait une imprimante Canon dans l’histoire

jul · Juin 20, 2018, 8:38am

Visiblement, rien d’anormal de ce côté. Je peux coller le retour de commande si tu penses que c’est préférable.

Et bien non… Rien de canon chez moi !

PascalHambourg · Juin 20, 2018, 11:56am

MAC=33:33:00:00:00:01:08:00:27:4b:3e:ae:86:dd SRC=fe80:0000:0000:0000:58fd:fcd3:9e72:84f2 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=158677 PROTO=UDP SPT=8612 DPT=8612 LEN=24

MAC=33:33:00:00:00:01:08:00:27:4b:3e:ae:86:dd SRC=fe80:0000:0000:0000:58fd:fcd3:9e72:84f2 DST=ff02:0000:0000:0000:0000:0000:0000:0001 LEN=64 TC=0 HOPLIMIT=1 FLOWLBL=51310 PROTO=UDP SPT=8612 DPT=8610 LEN=24

= Multicast link local IPv6 en provenance de l’interface qui a l’adresse MAC 08:00:27:4b:3e:ae, protocole UDP port 8612

MAC=01:00:5e:00:00:01:44:ce:7d:f1:ae:f0:08:00 SRC=192.168.23.1 DST=224.0.0.1 LEN=28 TOS=0x10 PREC=0x80 TTL=1 ID=25713 PROTO=2

= Multicast link local IPv4, protocole IGMP (gestion des groupes multicast) en provenance de l’adresse MAC 44:ce:7d:f1:ae:f0 IP 192.168.23.1.

MAC=01:00:5e:00:00:01:44:ce:7d:f1:ae:f0:08:00 SRC=172.16.255.254 DST=224.0.0.1 LEN=28 TOS=0x10 PREC=0x80 TTL=1 ID=25714 PROTO=2

= Multicast link local IPv4, protocole IGMP (gestion des groupes multicast) en provenance de l’adresse MAC 44:ce:7d:f1:ae:f0 IP 172.16.255.254.

MAC=78:24:af:88:93:60:b8:27:eb:f8:79:ca:08:00 SRC=192.168.23.6 DST=192.168.23.2 LEN=90 TOS=0x00 PREC=0x00 TTL=64 ID=9281 DF PROTO=UDP SPT=137 DPT=49989 LEN=70

= Trafic NetBIOS IPv4 unicast en provenance de l’adresse MAC b8:27:eb:f8:79:ca IP 192.168.23.6 à destination de l’adresse MAC 78:24:af:88:93:60 IP 192.168.23.2

grandtoubab · Juin 20, 2018, 1:05pm

http://www.gcstech.net/macvendor/index.php?list&node=vensea

nous dit que:

PCS Systemtechnik GmbH 08:00:27:
https://www.pcs.com/en/solutions-products/

ASUSTek COMPUTER INC. 78:24:AF

SFR 44:CE:7D

Raspberry Pi Foundation B8:27:EB

jul · Juin 20, 2018, 4:31pm

Merci pour les précisions.
Comment je me débarrasse de ces lignes ? Ça surcharge les logs…
J’ajoute des règles pour accepter ces connexions dans ufw ?
Genre : accepter le trafic provenant de 172.16.255.254 à destination de 224.0.0.1

grandtoubab · Juin 21, 2018, 6:47am

si tu ajoutes une règle à chaque fois que tu vois un message dans les logs…autant retirer ufw

çe serait plus sérieux d’essayer de comprendre si c’est problématique ou non que ces équipements, qui sont dans ton réseau donc que tu dois connaitre, échangent ces messages

quant aux log, en installant logrotate, les fichiers ufw ne sont gardés que 4 semaines, ça évite la surcharge

 cat /etc/logrotate.d/ufw
/var/log/ufw.log
{
	rotate 4
	weekly
	missingok
	notifempty
	compress
	delaycompress
	sharedscripts
	postrotate
		invoke-rc.d rsyslog rotate >/dev/null 2>&1 || true
	endscript
}

root@debian:/var/log# ls ufw*
ufw.log  ufw.log.1  ufw.log.2.gz  ufw.log.3.gz	ufw.log.4.gz
root@debian:/var/log#

logrotate est très souple et tu peux mettre 7 daily, ça fera une rotation quotidienne en conservant seulement 7 jours

jul · Juin 22, 2018, 11:08am

C’est certain, c’est d’ailleurs un peu l’objet de mon post

Non, rien de problématique ; du moins, rien que je n’ai pu identifier…

Je vais regarder de ce côté-là.

Merci