Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1052 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet filter live log filling up quickly.

jchaney
I just got everthing setup and I"m looking at my packet filter live log and I'm seeing this constantly scrolling..

2004:04:23-20:29:06 (none) kernel: ACCEPT: IN=eth2 OUT= MAC=00:60:08:cc[:D]8:12:00:10[:D]c:53[:D]8:c6:08:00 SRC=192.168.4.50 DST=192.168.4.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=52883 DF PROTO=TCP SPT=4719 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 
2004:04:23-20:29:06 (none) kernel: DROP: IN=eth2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:10[:D]c:53[:D]8:c6:08:00 SRC=192.168.4.50 DST=192.168.4.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=52895 PROTO=UDP SPT=137 DPT=137 LEN=58 
2004:04:23-20:29:06 (none) kernel: ACCEPT: IN=eth2 OUT= MAC=00:60:08:cc[:D]8:12:00:10[:D]c:53[:D]8:c6:08:00 SRC=192.168.4.50 DST=192.168.4.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=52896 DF PROTO=TCP SPT=4720 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 
2004:04:23-20:29:07 (none) kernel: ACCEPT: IN=eth2 OUT= MAC=00:60:08:cc[:D]8:12:00:10[:D]c:53[:D]8:c6:08:00 SRC=192.168.4.50 DST=192.168.4.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=52908 DF PROTO=TCP SPT=4721 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 

ETH2 is my LAN & ETH1 is WAN.

I have setup masquerading and it looks like this:
LAN to WAN   LAN (Network) -> All / All   MASQ__WAN   None 

and in my packet filter rules I have LAN ( address ) & LAN ( network )  HTTPS, HTTP, DNS --> ANY

Is this normal? My logs are filling up quite quickly.


This thread was automatically locked due to age.
Parents
  • 0
    [ QUOTE ]

    2004:04:23-20:29:06 (none) kernel: ACCEPT: IN=eth2 OUT= MAC=00:60:08:cc[:D]8:12:00:10[:D]c:53[:D]8:c6:08:00 SRC=192.168.4.50 DST=192.168.4.1 LEN=48 TOS=0x00 PREC=0x00 TTL=128 ID=52883 DF PROTO=TCP SPT=4719 DPT=443 WINDOW=65535 RES=0x00 SYN URGP=0 


    [/ QUOTE ]

    -> http://www.astaro.org/showflat.php?Cat=&Number=38833

    [ QUOTE ]

    2004:04:23-20:29:06 (none) kernel: DROP: IN=eth2 OUT= MAC=ff:ff:ff:ff:ff:ff:00:10[:D]c:53[:D]8:c6:08:00 SRC=192.168.4.50 DST=192.168.4.255 LEN=78 TOS=0x00 PREC=0x00 TTL=128 ID=52895 PROTO=UDP SPT=137 DPT=137 LEN=58 


    [/ QUOTE ]

    Netbios Broadcasts

    ...define just an "Any Any Broadcast32 Drop" rule.

    greetz
    Claus
  • 0 in reply to ClausP
    [ QUOTE ]
    Netbios Broadcasts

    ...define just an "Any Any Broadcast32 Drop" rule.

    [/ QUOTE ]That won't do it. To reliably drop the netbios broadcast traffic that is seen by the internal interface, you need to create two netbios drop rules, one for the internal broadcast address, and one for the internal interface address. The rules below will work:

    Internal_Network_ { netbios } Internal_Broadcast_  Drop
    Internal_Network_ { netbios } Internal_Interface_  Drop

    You can also substitute Any for Internal_Network_ in the two rules above, if you wish to make them more general.
  • 0 in reply to VelvetFog
    as the link above states this is due to the Webadmin logging traffic for port 443 (https)

    as Gert States... They will ultimately require this fieature to be ICSA certified.. look for a "switch" to disable in an upcoming "patch".

  • 0 in reply to VelvetFog
    I have the following rules:-

    Any Any { Broadcast } Drop 
    { Broadcast } Any Any Drop 


    The broadcast group has:-

    ADSL_Broadcast__
    Internal_Broadcast__
    Multicast  (255.255.255.255/32)

    Is this over the top?  Should I just use the netbios rules from above?

    Thanks
Reply
  • 0 in reply to VelvetFog
    I have the following rules:-

    Any Any { Broadcast } Drop 
    { Broadcast } Any Any Drop 


    The broadcast group has:-

    ADSL_Broadcast__
    Internal_Broadcast__
    Multicast  (255.255.255.255/32)

    Is this over the top?  Should I just use the netbios rules from above?

    Thanks
Children
No Data