Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2411 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Multicast Entries In Packet Filter Log

scottj_01
All-


I am suddenly seeing about 500 hits per day from a Verizon Router. (see enclosed log entries.) Apparently Verizon may have decided to use multicast for the cable boxes. Naturally unless multicast is really needed I do not want to allow the firewall to respond/pass it. Is there any methodolgy to prevent logging this unnecessary traffic? It is my understanding that UTM 9 does not respond or pass IGMP traffic unless it is explicitly allowed, is that correct? Would there be a down side to allowing multicast if needed?

Thanks,
Jim


2012:08:16-18:35:18 OASIS ulogd[4320]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:90:1a:a1:41:27" dstmac="0:24:7e:0:c1:82" srcip="98.114.203.1" dstip="224.0.0.1" proto="2" length="36" tos="0x00" prec="0xc0" ttl="1"
2012:08:16-18:37:23 OASIS ulogd[4320]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:90:1a:a1:41:27" dstmac="0:24:7e:0:c1:82" srcip="98.114.203.1" dstip="224.0.0.1" proto="2" length="36" tos="0x00" prec="0xc0" ttl="1"


This thread was automatically locked due to age.
  • 0
    Hi, you should be able to drop it, as end-point networks aren't supposed to handle multicast traffic (it's supposed to be 'forwarded' to the end-points by a mbone ISP).

    A DROP rule (without log) for 224.0.0.1 should do the trick.

    Barry
  • 0
    Interesting, Jim.  What does security(at)verizon.net have to say about that traffic?

    Cheers - Bob
    PS And you could create an IGMP Service definiton; IP Protocol 2.
  • 0
    That looks like IPTV traffic. TELUS offers a similar service under the OPTIK brand and since it came available in our area I see a lot of multicast traffic.
  • 0
    All-

    Thanks for responding.

    Barry, Drop rule put inplace with no logging.

    Bob, I edited the rule adding IGMP  IP Protocol 2 as the service. Any>IGMP>224.0.0.1 drop no logging. A copy of the packet filter logs was sent to abuse@verizon.net several days ago. The have yet to respond. I posted on DSL reports about this where I learned verizon was giong to use multicast for the set top boxes. I suspect they are going towards IP TV. There have been rumors of IP TV for sometime.

    Thanks,
    Jim