BLASTER invasion !

Are your fw open to this ports? 

Hellen,
Blaster worm comes on port 135. Define a new service netbios_135 SP:1024:65535 DP 135.
After this, make a new packet filter rule:
From:Any Service: netbios_135 TO: Your_Internet_Interface ACTION: DROP.
Thats enough for the blaster, but it is not bad to block all netbios ports to you outside Interface.
Cheers  

Overnet,
regardless of which port is open on the firewall. If there are packets e.g. from the outside, which doesn´t match to a ALLOW or DROP rule, the packets are shown in your kernel log. So your kernel log grows up. Even the port is closed, the dropped packets are shown in the kernel log.   

I have only one port open in my fw so i don´t need any rules to stop blaster worm i use proxy  to conect to internet 

The meaning is that your packets are directly dropped and are not shown in the kernel logfile. Many users have the problem, that their logfile grows up and up ... and the partions gets full.With the drop entry, the packets are not shwon. But you are right, thats not coactive to set this rule, because the firewall is a firewall to block not allowed packets.
cheers  

Blaster ports "Destination only listed"

Port 135tcp "Active Directory Chat/replication"
Port 1900tcp/udp "Universal Plug & Play"

1900 might just need to be UDP.  I'll have to double check my configs. 

i need to block also port 1900 tcp/udp for blaster ?? 
why ?  

BLASTER comes over Port 135 tcp.  

what is better ...
reject or drop??

netbios ( 137-138-139 ) any to any
netbios_135 any to any

   

Generaly better is DROP and don't log - especially on external interface,