Moin das mag nun etwas Trollig klingen aber wo ist da die Frage ?
Wenn da was geblockt wird hast DU es veranlasst es zu blocken. Vielleicht ohne Absicht und / oder als Seiteneffekt von irgendwelchen
anderen Regeln. Üblich dann welche den Zugriff auf Gateway selber einschränken. Schau Die also deine Reglen an
die von deinen Netzen zum Gateway gehen.
Die Anfragen kommen von der Dream Machine direkt, also kein Client.
Jein, die UDM dient wenn Configuriert nur als mDNS Proxy / Relay / mDNS Helper. Sie empfängt mDNS Broadcast und leitet gibt sie 1zu1 wider auf den anderen VLAN wieder aus. Das ist erforderlich weil mDNS nur in der eignen Brodcastdomain verteielt wird (TTl1, damit gehts nicht über ein Router auch wenn der "Multiacst" könnte)
Guten Morgen zusammen.
Ich habe mir mal die Flows der Firewall genauer angeschaut. Neuerdings wird die ip-Adresse 224.0.0.251 mit dem Port 5353 geblockt.Die Anfragen kommen von der Dream Machine direkt, also kein Client.
Wenn ich mich recht dran erinnere hat das was mit mDNS zu tun.
kurze Nachfrage ... Hast Du mDNS in "Network/Netzwerke" aktiviert für die Netze die mDNS brauche ?
Ich habe nämlich in meiner FW (zonebased FW) dan automatisch generierte Regeln:
Ich habe mal im osd der Dream machine mDNS Proxy alle aktiviert. Evt. Lag es daran
Nö, wenn du MDNS nicht für ein VLAN aktiviert hast wir es da auch nicht für Konfiguriert und ausgestrahlt.
Es liegt hieran.. DAS IDS erkennt einen EDONKY search Request und dein IDS hat P2P verboten.
Das muss nicht unbedingt heißen das du irgendwo einen Esel laufen hat. (auch wenn die Vermutung es nahe liegt) es kann auch
ein Legitimer Request sein der für das IDS nur so aussieht (false positive). Oder ein Security Scanner, oder ein gerät / app / Programm
das über gleiche Methoden arbeitet ohne das du es weißt. (was neues im Haus ?)
Lösung:
UhrQuelle ausfindig machen, danach entscheiden ob die Böse ist und dann unten aus Ausnahme erstellen drücken. Oder
dem dem Sohn ein ernstes Wort reden das es besser is seine Debian Distro über Offizielle Quellen zu besorgen zu saugen
P2P ist nicht per sehr böse. Es gibt viele Software-Anbieter die dieses Protokoll/Mechanismen nutzen um große Daten schnell zu übermitteln. Passiert häufig bei Spiele, aber auch Betriebssysteme, gerade im Unix-Umfeld. Selbst MS nutzt diese Technik.
Und da kann dann schon Mal eine Fw zwischengrätschen. Da fehlt noch sehr viel KI. 
Bin ich nochmal in mich gegangen...
Schau mal hier:
Könnte halt wirklich "dummer zufall" sein und damit nen false Positive.
Ich habe es auch immer wieder ausgehend von meiner FB, aber an 224.0.0.251 
Moin Pino, die habe ich auch. Ebenfalls von meiner Fritte abgehend? Was macht die da?
Die IP-Adresse 224.0.0.251 ist eine reservierte Multicast-Adresse, die für Multicast DNS (mDNS) (auch bekannt als Bonjour, Avahi oder ZeroConf) verwendet wird. Sie ermöglicht Geräten in lokalen Netzwerken, Dienste (wie Drucker, iTunes oder Freigaben) ohne zentralen DNS-Server zu finden.
Es handelt sich um eine Multicast-Adresse, keine feste IP eines Geräts, weshalb sie oft in Firewall-Logs als Ziel auftaucht, wenn mDNS-Dienste aktiv sind.
Don’t have an account yet? Register yourself now and be a part of our community!
