Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 2081 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

UPD Drop Problem

indy
Hello!

The kernel and packet logs of my firewall
are filled completly with this messages:

Jul 12 12:07:03 inout kernel: TCP Drop: IN=eth0 OUT=eth1 SRC=192.168.100.11 DST=194.97.51.X LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2652 DF PROTO=TCP SPT=1105 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 
Jul 12 12:07:05 inout kernel: UDP Drop: IN=eth0 OUT= MAC=ff:ff:ff:ff:ff:ff:00:01:02:07:e5:74:08:00 SRC=192.168.100.13 DST=192.168.100.255 LEN=229 TOS=0x00 PREC=0x00 TTL=128 ID=33159 PROTO=UDP SPT=138 DPT=138 LEN=209 

for my this looks like microsoft-smb packtes (because of the ports 137-139, somethims port 520 (?)).
The problem is that the packets are logt every second,so that the logs are completly full of it.
is this normal???
shell i set a rule to filter them out for dropping without loging?

thanx!


This thread was automatically locked due to age.
Parents
  • 0
    îndy

      
     SRC=192.168.100.11 DST=194.97.51.X LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2652 DF PROTO=TCP SPT=1105 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 
     
    One of your internal hosts (192.168.100.11) tries
    to connect directly to HTTP server (194.97.51.X)
    port 80. I assume that on this machine the proxy
    settings are not configured properly. Why else
    did you Xed out the IP address. Make sure that the
    client connects, if using ASL's proxy, the
    internal IP of your firewall port 8080 as proxy!

    read you
    o|iver
Reply
  • 0
    îndy

      
     SRC=192.168.100.11 DST=194.97.51.X LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=2652 DF PROTO=TCP SPT=1105 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0 
     
    One of your internal hosts (192.168.100.11) tries
    to connect directly to HTTP server (194.97.51.X)
    port 80. I assume that on this machine the proxy
    settings are not configured properly. Why else
    did you Xed out the IP address. Make sure that the
    client connects, if using ASL's proxy, the
    internal IP of your firewall port 8080 as proxy!

    read you
    o|iver
Children
  • 0 in reply to oliver.desch
    thanxs!
    but what is about the second packet (UDP) ?
    UDP packets like this are arriving every 5-10 sec. at the firewall.?
    thanks
  • 0 in reply to indy
    Originally posted by indy:
    thanxs!
    but what is about the second packet (UDP) ?
    UDP packets like this are arriving every 5-10 sec. at the firewall.?
    thanks
    138 UDP is netbios. Its a broadcast protocol that spews itself out across the network from every windows machine on the network. You can create network definitions and apply filters to drop the traffic from your logs, it won't stop it happening however.

    Of course you could turn netbios off on the windows machines, but you then wouldn't be able to do any shares off any of the machines, so not what you probably want to do.