Port scanning

Do you have any DNAT rules pointing to that internal box?

If so what is probably happenning is the port scan detection is happening after the dnat rule translates the dest. ip.

The source IP is a DNS server ns.wineasy.se. When an internal system is accessing the internet it is scanned by the DNS server. I have found this only happens the first time a system on the internal LAN access the internet. 

Add this IP to the PSD exclusion list to stop the notification.

but somehow portscanning is strange.

this "attacks" from dns servers are reported and blocked.
also "ftp-attacks" from web-editing-systems are detected to my www-server.

but someone scanning my hole network aaa.bbb.ccc.0 for open port80 or port x is not detected as portscanner. I think this should be possible.
so he can be detected while asking aaa.bbb.ccc.1 up to -maybe- aaa.bbb.ccc.50. Then hi should be blocked and my server aaa.bbb.ccc.51 would be protected.
this is not the case.
my filter-log has blocks of 253 entries like:
Oct 14 04:48:16 TCP Drop: SRC=211.155.27.143 DST=134.169.18.33 SPT=4159 DPT=80
Oct 14 04:48:16 TCP Drop: SRC=211.155.27.143 DST=134.169.18.52 SPT=4178 DPT=80
Oct 14 04:48:16 TCP Drop: SRC=211.155.27.143 DST=134.169.18.63 SPT=4189 DPT=80
Oct 14 04:48:16 TCP Drop: SRC=211.155.27.143 DST=134.169.18.55 SPT=4181 DPT=80
(shortened)
there is nothing between most of these entries (same timestamp)
the real server of course is not blocked by filter rules.

I really think that is somethink to improve!

I think I read about possibilities of the portscanning programs, but ASL doesn't seem to handle these.

kind regards, Christian