Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 3 subscribers
  • Views 1132 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

netbios not cool?

zeek
Greetings,

This is similar to the traceroute question I just posted... 

I've defined my network (perhaps improperly) as my-net: 192.168.1.0/255.255.255.0

As a Packet Filter Rule I've defined:

my-net { netbios } my-net Allow 

However, I get this in my /var/log/kernel ocassionaly:

Oct 25 00:01:18 vishnu kernel: UDP Drop: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:20:78:12:10:93:08:00 SRC=192.168.1.50 DST=192.168.1.255 LEN=96 TOS=0x00 PREC=0x00 TTL=128 ID=4378 PROTO=UDP SPT=137 DPT=137 LEN=76

A broadcast nonetheless... I'm guessing that I've not defined my network properly and this may be why I'm getting those traceroutes as portscans as well. 

Any coaching would be greatly appreciated.

Thank you,
-zeek

P.S. Astaro kicks ass.


This thread was automatically locked due to age.
Parents
  • 0
    thats normal. The ASL drops the broadcast on the input chain.

    the rule

    my-net { netbios } my-net Allow

    is quite useless, since my-net is on the same LAN segment I guess  [:)])

    /tom
  • 0 in reply to tom_01
    If your network is 192.168.1.0/255.255.255.0, the broadcast IP is 192.168.1.255. Add a network definition for the broadcast IP (192.168.1.255/255.255.255.255) and add a rule that defines the following:
    Source: YourNet, Protocol: netbios, Destination: broadcast IP, allow

    Make sure you use the protocol group (there is one predefined). On the other hand, if you do not want to allow netbios and want to avoid the logs, just set it to drop and it won't get logged.

    Hope this helps.
    Maurice
Reply
  • 0 in reply to tom_01
    If your network is 192.168.1.0/255.255.255.0, the broadcast IP is 192.168.1.255. Add a network definition for the broadcast IP (192.168.1.255/255.255.255.255) and add a rule that defines the following:
    Source: YourNet, Protocol: netbios, Destination: broadcast IP, allow

    Make sure you use the protocol group (there is one predefined). On the other hand, if you do not want to allow netbios and want to avoid the logs, just set it to drop and it won't get logged.

    Hope this helps.
    Maurice
Children
No Data
Unfiltered HTML