Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4136 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Protection: Dropped Packets

DaMaN841
I noticed a slew of dropped packets from a couple sources and I'd like to confirm that my understanding about why they were dropped is on the right track. My goal is to eliminate any unnecessary packet dropping for my hosts given they are legitimate. 

Note - I removed src and dst Mac's and IP's.

Boxee Box (Local) - Based on my digging around Google, I believe this was dropped because Boxee didn't supply any tcpflags? NETBIOS-NS Port 137 UDP is allowed on my Internal Network, which led me to this conclusion. 
2013:07:31-00:04:35 Tornado ulogd[4823]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="" dstmac="" srcip="x.x.x.118" dstip="Internal Gateway IP" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="44252" dstport="137"


P2P Leecher - Based on my digging around Google, I believe this was dropped because of the reset flag within tcpflags. Perhaps this is due to their ISP sending RST Packets?
2013:07:31-12:56:52 Tornado ulogd[4823]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="" dstmac="" srcip="x.x.x.x" dstip="External IP" proto="6" length="40" tos="0x00" prec="0x00" ttl="45" srcport="8890" dstport="64713" tcpflags="RST"


I'm really not sure why this one was dropped:
2013:07:31-00:53:41 Tornado ulogd[4823]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="" dstmac="" srcip="x.x.x.x" dstip="External IP" proto="6" length="64" tos="0x00" prec="0x00" ttl="48" srcport="34990" dstport="60399" tcpflags="SYN"


I appreciate the assistance. Thank you!


This thread was automatically locked due to age.
Parents
  • 0
    There are built-in rules for the firewall's interfaces; those interfaces are treated very differently than the protected networks. Since the firewall doesn't 'speak' netbios, there's no reason it should accept the packets, so it drops (and logs) them.
    If there are too many entries in the logs, you can create a new rule to drop them without logging.

    RST packets could be coming from something like SandVine from your ISP or the remote P2P peer's ISP. There's not really anything you can do about it.
    They could also be expired sessions, as I mentioned earlier.

    If you don't recognize the traffic in the last log entry, then the firewall did its job; it dropped the unauthorized traffic. It could be from a port scan, a bot, etc.

    Barry
Reply
  • 0
    There are built-in rules for the firewall's interfaces; those interfaces are treated very differently than the protected networks. Since the firewall doesn't 'speak' netbios, there's no reason it should accept the packets, so it drops (and logs) them.
    If there are too many entries in the logs, you can create a new rule to drop them without logging.

    RST packets could be coming from something like SandVine from your ISP or the remote P2P peer's ISP. There's not really anything you can do about it.
    They could also be expired sessions, as I mentioned earlier.

    If you don't recognize the traffic in the last log entry, then the firewall did its job; it dropped the unauthorized traffic. It could be from a port scan, a bot, etc.

    Barry
Children
No Data