Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 1235 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

"no log" packet goes to log

liug
I created a packet filtering rule:

source: any
dest: any 
service: Windows Network (NETBIOS)
action: reject with "no log".

But I still see the udp port 137 being dropped in the log, as part of the default rules, not the rule # that I defined. 

In below example from the log, 192.168.10.100/24 is one internal host, and 123.123.123.123 is the WAN IP, eth2 is internal interface with mac address 00:1a:8c:f0:a6:62.
BTW, internal network has a few subnet, and the eth2 is connected to subnet 192.168.1.0/24.

2009:04:14-00:00:14 fw1n1-1 ulogd[12211]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="eth2" outitf="eth2" dstmac="00:1a:8c:f0:a6:62" srcmac="00:00:00:00:00:00" srcip="192.168.10.100" dstip="123.123.123.123" proto="17" length="78" tos="0x00" prec="0x00" ttl="127" srcport="57065" dstport="137" 

Any thoughts?


This thread was automatically locked due to age.
  • 0
    Is eth2 your external NIC?

    Barry
  • 0 in reply to BarryG
    See my original post, eth2 is the internal NIC.
  • 0 in reply to liug
    Oops... do you have any DNS or WINS or other settings that would make the PCs think that your external IP is a WINS server or anything like that?

    Barry
  • 0 in reply to BarryG
    Oops... do you have any DNS or WINS or other settings that would make the PCs think that your external IP is a WINS server or anything like that?

    Barry


    Not that I am aware of. I am not trying to find out why that host is sending to port 137. All I want to know is why the ASG doesn't use my defined rules.

    BTW, the log also has this particular host sending to the the internal IP (192.168.1.3) of the ASG on port 137, being dropped by the default rule:


    2009:04:14-00:01:25 fw1n1-1 ulogd[12211]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" seq="0" initf="eth2" outitf="eth2" dstmac="00:1a:8c:f0:a6:62" srcmac="00:00:00:00:00:00" srcip="192.168.10.100" dstip="192.168.1.3" proto="17" length="78" tos="0x00" prec="0x00" ttl="127" srcport="55458" dstport="137"
  • 0 in reply to liug
    That particular host 192.168.10.100 is a Windows Server 2008 Standard, if that matters.

    Still, I am curious why my rule didn't work and the default drop rule kicks in.
  • 0 in reply to liug
    ANY rules don't include the following:
    1. the firewall interfaces addresses
    2. the network addresses, e.g. 192.168.1.0
    3. the broadcast addresses, e.g. 192.168.1.255 and 255.255.255.255

    You can create rules for those to drop with no logging if you wish.

    Regardless, I'd still wonder why your server is trying to connect to the _external_ IP, and especially why on port 137; I believe modern versions of windows will primarily use port 445.

    Barry
  • 0 in reply to BarryG
    In the log, I see it tries to talk to port 137 on ASG's internal NIC IP, external WAN NIC IP, DMZ NIC IP, and a few alias IPs that I defined on the external WAN NIC. All being dropped by the default rule. You statement regarding "ANY rules don't include the following: 1. the firewall interfaces addresses" makes sense now. It explains those entries in the log.