Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 16 replies
  • Subscribers 3 subscribers
  • Views 13722 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Log dropped broadcasts

Alvin
Hi all

Just want to check if it is fine to Disable

Log dropped broadcasts which is under Packet Filter -> Advance

On one hand, it seems wise to simply log everything and there is no downside since there are tons of HDD Space Available. (I never even fill 3% after entire year)

The reason I am thinking of disabling it now is because I realized it is because of this setting that causes the Packet Filter Logs ( Live) shows a lot of broadcast traffic and this makes it hard for troubleshooting since 90% of the page is the same dropped broadcast. (There is tons of broadcast due to a media stream device known as HAVA, think of it as slingbox)

Thus seek your advice

1) Simply can leave it OFF, not a issue.
2) OR I should keep it ON and turn off only when I need to troubleshoot as disabling this can cause me to lose important information. (Well the way I see is there must be a reason it exist right)


This thread was automatically locked due to age.
Parents
  • 0
    Hi Bob, I think it could still be a broadcast address.

    Barry
  • 0 in reply to BarryG
    You usually know more than I about this stuff, Barry, so I bet you're right.  In October, I tried to clean out our packet filter log, so I learned just enough about the Input and Forward chains to be dangerous.[;)]

    The net of what I learned is that rule 60002 means you have to use the (Address) from an Interface definition.  I haven't tried it, but a Host definition bound to the interface might work, too.  Hmmm...

    Alvin, if Bruce's suggestion thusfar doesn't get it done, before giving up on his idea, please try it with the 'Destination' object bound to the Internal interface.

    Thanks - Bob
  • 0 in reply to BAlfson
    Balfson and BarryG

    - Thank You for enlightening me that default drop rule is after my rules which was what I originally thought but I also suspected there may be some "mechanism" in place to drop broadcast within Astaro Behavior which may take place first before my rules.
    - Where did you get to learn all these Astaro Behaviors?

    - It is solved with the following configuration

    Source: LAN Network 192.168.1.0 
    (I realized that other than Device, the Client on my laptop when connected it on the LAN is broadcast too)
    Service: HAVA UDP 178 (Source 1:65535 and Destination 1778)
    Destination: Global Broadcast Network
    (Network 255.255.255.255 Mask 255.255.255.255)
    Action: Drop
    Position: Top
    Logging: Unchecked.

    Thank You guys, this is really great, I can keep enabled Broadcast Logging enabled and yet can eliminate this constant traffic jamming up the live logs which is not a storage issue but when troubleshooting a huge % are these stuff.
Reply
  • 0 in reply to BAlfson
    Balfson and BarryG

    - Thank You for enlightening me that default drop rule is after my rules which was what I originally thought but I also suspected there may be some "mechanism" in place to drop broadcast within Astaro Behavior which may take place first before my rules.
    - Where did you get to learn all these Astaro Behaviors?

    - It is solved with the following configuration

    Source: LAN Network 192.168.1.0 
    (I realized that other than Device, the Client on my laptop when connected it on the LAN is broadcast too)
    Service: HAVA UDP 178 (Source 1:65535 and Destination 1778)
    Destination: Global Broadcast Network
    (Network 255.255.255.255 Mask 255.255.255.255)
    Action: Drop
    Position: Top
    Logging: Unchecked.

    Thank You guys, this is really great, I can keep enabled Broadcast Logging enabled and yet can eliminate this constant traffic jamming up the live logs which is not a storage issue but when troubleshooting a huge % are these stuff.
Children
  • 0 in reply to Alvin
    Balfson and BarryG

    - Thank You for enlightening me that default drop rule is after my rules which was what I originally thought but I also suspected there may be some "mechanism" in place to drop broadcast within Astaro Behavior which may take place first before my rules.
    - Where did you get to learn all these Astaro Behaviors?


    Hi, 

    The only Astaro rules which have precedence over your own PF rules would be Astaro's rules for the proxies and DNS servers (which are setup via their respective config pages).

    I learned this stuff by working with Linux firewalls before, and working with Astaro and reading these forums.

    Glad you got it working.

    Barry