icons

Play with Definitions of Networks and Services.  You will quickly see symbols for groups, hosts, networks, etc.

Play with Definitions of Networks and Services.  You will quickly see symbols for groups, hosts, networks, etc.

yes Sir i am trying that like log add pen/pencil on bar so on but it will be great if full list is available 

Thanks

pencil = traffic is logged
red arrow = packets are dropped
yellow arrow = packets are rejected
green arrow = packets are allowed

Is anything else unclear?

Regards
Ana

pencil = traffic is logged
red arrow = packets are dropped
yellow arrow = packets are rejected
green arrow = packets are allowed

Is anything else unclear?

Regards
Ana

I'd forgotten the 'reject' option... Has anyone ever employed it?  Why?

Thanks - Bob

I'd forgotten the 'reject' option... Has anyone ever employed it?  Why?

Of course we use REJECT:

Drop versus Reject
DROP vs. REJECT...
Security Basics: DROP vs REJECT Re: Iptables Clues and Advices.
SANS Internet Storm Center; Cooperative Network Security Community - Internet Security - isc

Generally a last rule (before the default, hidden rule "Any-Source Any-Service Any-Destination DROP LOG") 

Any-Internal-Source Any-Service Any-External-Destination REJECT (Log if you need)

makes sense for easier debugging of internal communications.

Regards,
Manuel

Right, debugging internal communications was all I could think of.  I come down on the side of denying unwanted traffic instead of communicating with the sender.

Thanks, Manuel, for the links - Bob

Thanks !
keep blessing like this !

I'd forgotten the 'reject' option... Has anyone ever employed it?  Why?

One example: Reject is useful for SMTP connections to remote servers which insist on trying to do an IDENT connection back to you. If you just drop them, it greatly slows down your outgoing mail queues.

Barry

Count on Barry for esoteric knowledge!

Where can you see that an IDENT is being sent other than in the packet filter log?  When you say "slowed down" mail delivery, what is the delay?

Thanks - Bob

Remote mail server tries to make IDENT connection back... it would only show up in PF log if you're dropping.

Slowdown is because if you drop, the remote will try several times, waiting for the IP timeout each time, so it can take 1 minute or more to send a single email.

There were some discussions of this on these forums many years ago.

The solution is to either forward/allow the traffic to your server, or just reject the traffic. Ironically, there's no advantage to allowing it.

Barry

So, do you reject IDENT traffic in any of your clients' boxes?  After a little googling, it looks like you're not alone - should this be a part of the standard setup when the box is shipped from Astaro?

So, do you reject IDENT traffic in any of your clients' boxes?  After a little googling, it looks like you're not alone - should this be a part of the standard setup when the box is shipped from Astaro?

Barryg,Bob thanks !

So, do you reject IDENT traffic in any of your clients' boxes?  After a little googling, it looks like you're not alone - should this be a part of the standard setup when the box is shipped from Astaro?

Yes, anywhere we send outgoing mail from without a smarthost (or the smarthost is behind the firewall).
Some smarthosts probably do IDENT too; it doesn't hurt to add a REJECT rule to any firewall, unless you need IDENT for IRC or something.

Barry