Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1359 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

New Packet Filter Rules not getting applied?

BigBirdy
I have been trying to quite down the logs for internal traffic and I started by creating new ACCEPT packet filter rules, for SMB/Netbios traffic 137:139. and NTP traffic on 123. But internal traffic to those ports is still getting dropped on ports 123, 137, 138 and 139 for internal machines, so maybe the rule has not been created properly. It shows up in the Chain USR_FORWARD but not Chain AUTO_INPUT...could this be the problem? 

ASL 6.1

Chain USR_FORWARD (1 references)
 pkts bytes target     prot opt in     out     source               destination         
 5913  372K ACCEPT  all  --  *      *       192.168.1.0/24       0.0.0.0/0           ACCEPT 
    0     0 ACCEPT  udp  --  *      *       192.168.1.0/24       0.0.0.0/0           udp spt:123 dpt:123 ACCEPT 
    0     0 ACCEPT  tcp  --  *      *       192.168.1.0/24       0.0.0.0/0           tcp spts:1:65535 dpts:137:139 ACCEPT 
    0     0 ACCEPT  udp  --  *      *       192.168.1.0/24       0.0.0.0/0           udp spts:1:65535 dpts:137:139 ACCEPT 
  489 23664 ACCEPT  tcp  --  *      *       0.0.0.0/0            192.168.1.3         tcp spts:1024:65535 dpt:80 ACCEPT 
    2   112 ACCEPT  tcp  --  *      *       0.0.0.0/0            192.168.1.3         tcp spts:1:65535 dpt:25 ACCEPT 
    0     0 ACCEPT  tcp  --  *      *       0.0.0.0/0            192.168.1.3         tcp spts:1:65535 dpt:8443 ACCEPT 
    0     0 ACCEPT  udp  --  *      *       0.0.0.0/0            192.168.1.3         udp spts:1:65535 dpt:8443 ACCEPT 
    0     0 ACCEPT  all  --  *      *       0.0.0.0/0            224.0.0.1           ACCEPT


This thread was automatically locked due to age.
Parents
  • 0
    I don't think so, I had the same problem (SMB, etc broadcasts cluttering the log) and after changing the rules to get rid of the junk in the packet filter log, it didn't add anything to AUTO_INPUT. What I've got in the rules is a series of
    Source: Internal (Network)
    Service: Microsoft-SMB
    Action: Accept
    Destination: Internal (Broadcast)
    for Microsoft-SMB and the others, followed by a series of
    Source: Any
    Service: Microsoft-SMB
    Action: Drop
    Destination: Any
    rules.
  • 0 in reply to doug_p
    Doug,
    I have a similar rule to your first one and it works fine, have checked to see what it actually did in the rules. Probably should do what you have done and add another one for the external interface and reduce the junk even further.

    Ian M [:)]
Reply
  • 0 in reply to doug_p
    Doug,
    I have a similar rule to your first one and it works fine, have checked to see what it actually did in the rules. Probably should do what you have done and add another one for the external interface and reduce the junk even further.

    Ian M [:)]
Children
  • 0 in reply to RFCat_vk_01
    I used the following packet filter rules to quiet down log traffic.  

    12 chatterDrop all_lans netbios-dgm all_intBcast netbios chatter
    13 chatterDrop all_lans netbios-ns all_intBcast netbios chatter
    14 chatterDrop Any  _bootpc_ps Extrn (Address) chatty adsl rtr
    17 usualScans Any HTTP Extrn (Address) 80: IIS Exploits
    18 usualScans Any _epmap Extrn (Address) 135: rpc exploit
    19 usualScans Any _netbios-ns-alt  Extrn (Address) 137: bugbear,opserv,open shares (open source port)

    etc...

    The destination for most drop rules is the physical interface or broadcast address.  ANY is only for traffic terminating on the network away from the firewall.
  • 0 in reply to RFCat_vk_01
    Using ANY for source or destination will put the rule in the forward chain. This chain is for routed packets. To place a rule in the input or output chain (which is for packets comming or destinate from the firewall) you have to set the source or destination of the rule to the interface address of the firewall.

    Xeno