Filter LiveLog: Where does this entry come from?

Silencer,,

I know that the ASL box does any nat translations first... then it passes the packet through the filter so if you have a translation set for 192.168.1.5 and somone is passing traffic to the outside address that maps to this but there is no filter rule you will see the blocked packet in the live filter log.

The thing is I don't have any DNAT rules setup for any PCs in 192.168.1.0/26 subnet. I have setup a masq for that subnet and an outgoing filter rule, but thats about it.

one other thing... is this happening often?  I would check the nat translations first. Then if you see this specific host address do a lookup on it as follows.

Server:         127.0.0.1
Address:        127.0.0.1#53

249.246.83.24.in-addr.arpa      name = h24-83-246-249.va.shawcable.net.

this is the isp that owns the ip address.
then go to arin.net and do a whois to find the email address or contact info of the owner of the address range and tell them that this is happening.  I would only do this if you feel this person is trying to get into something on a regular basis though.

this may then be something as simple as a reply to outbound service request.  I see this is a website that is called leftshore.com  do you visit there??

Thanx motox, I'm aware of procedures for reporting unauthorized access attempts, I'm just trying to understand the firewall rules better to know how to distinguish between harmless entries and hacking attempts.
I'm still trying to determine all the rules I need to implements in my firewall to make myself most secure, but I can't find many guides on the net to do so.

Could somebody share their rule sets in a similar setups? I have a simple box with three interfaces for lan, dmz and internet, and I'd like:
-Unlimited access to the net and dmz from lan
-No access to lan from net or dmz
-Limited access to dmz from net using SNAT/DNAT and additional IPs on the internet interface.

Thats about it  [:)]

Thanx motox, I'm aware of procedures for reporting unauthorized access attempts, I'm just trying to understand the firewall rules better to know how to distinguish between harmless entries and hacking attempts.
I'm still trying to determine all the rules I need to implements in my firewall to make myself most secure, but I can't find many guides on the net to do so.

Could somebody share their rule sets in a similar setups? I have a simple box with three interfaces for lan, dmz and internet, and I'd like:
-Unlimited access to the net and dmz from lan
-No access to lan from net or dmz
-Limited access to dmz from net using SNAT/DNAT and additional IPs on the internet interface.

Thats about it  [:)]

What masq does is it builds an internal table for outbound requests to track connections to the web.  for instance if pc1 goes out to www.msn.com astaro when it gets the packet records pc1 packet number xxx and changes the source port of the request and forwards it to www.msn.com when the packet comes back from msn.com the destination port is xxx and astaro realizes that this is established traffic from the inside matches it from the original table and forwards it to pc1.  All packets have in the table have a timeout value if the table has timed that packet out then it will not be able to match the packet with the masq table and see it as a new connection rather than established traffic.

So in other words, you're confident that these types of entries are harmless, correct?

a lot of it depends on the frequency of the entries.  If they are hitting you say 100 times a day from the same ip address most likley something fishy is up.  If you see them rarley then I would say your fine.  With my box I see a lot of port scans and they are very easy to recognise because of the frequency that they happen within a 10 minute period or so.

Does Portscan Detection feature work for you?

I found that it does work but I have played with it quite a bit and found that it is easy to get it to not report the scan.  The best thing that the port scan tool offers you is the ability to drop scans or sent an icmp reject.