I see this in the firewall log some days for a few weeks many entries

Barry, it's difficult to get much information from Live Log lines.  Please show the same line from the full log file.

Cheers - Bob

ok here you go i also added a line from a public dns server 4.2.2.1, thanks for anyisight you can give.   How can that 192.168.53.x number be on the internet?

2012:09:20-00:00:06 astaro7 ulogd[5676]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" mark="0x307c" app="124" srcmac="c4:17:fe:fe:c9:b6" dstmac="0:1a:8c:17:5f:52" srcip="192.168.53.1" dstip="x.x.x.25" proto="17" length="90" tos="0x00" prec="0x00" ttl="51" srcport="53" dstport="65280" 
2012:09:20-00:00:06 astaro7 ulogd[5676]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" mark="0x307c" app="124" srcmac="c4:17:fe:fe:c9:b6" dstmac="0:1a:8c:17:5f:52" srcip="192.168.53.1" dstip="x.x.x.25" proto="17" length="90" tos="0x00" prec="0x00" ttl="51" srcport="53" dstport="65280" 
2012:09:20-00:00:06 astaro7 ulogd[5676]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" mark="0x307c" app="124" srcmac="c4:17:fe:fe:c9:b6" dstmac="0:1a:8c:17:5f:52" srcip="4.2.2.1" dstip="x.x.x.25" proto="17" length="90" tos="0x00" prec="0x00" ttl="51" srcport="53" dstport="64713"

It looks like that's the IP of your modem - it is in bridged mode, isn't it?

Notice that the srcmac is the same for all three lines, including the one with IP=4.2.2.1.

The issue might go away if you reboot the modem as it seems to be intercepting DNS requests and then responding (srcport="53") when it's not expected.  That's probably why the packets are "default dropped out of the INPUT chain" (fwrule="60001").

Why the ASG would have asked for DNS from 4.2.2.1 and then dropped the response is a bit of a mystery, but could be caused by some difficulty with your modem or ISP.

Cheers - Bob

makes sense i found my cable ip is 192.168.0.1 and 192.168.100.1 but can't sign in to see if in bridged mode(asks for name and password and i tried all the default ones).  I will call cable company and ask, but what should i ask them to set it to bridged or not (what is the other option) thanks again.

Default DROP DNS 192.168.53.1 :53→x.x.x.x(my public ip) :63923 len=73 ttl=51 tos=0x00 srcmac=c4:17:fe:fe:c9:b6 dstmac=0:1a:8c:17:5f:52

i think the src mac is from Hon Hai Precision Ind. Co.,Ltd. (what do they make)

Hi,
FYI, You can't get anything meaningful from MAC addresses on an External connection, it will ALWAYS be the MAC or your router or modem.

Barry G

makes sense i found my cable ip is 192.168.0.1 and 192.168.100.1 but can't sign in to see if in bridged mode(asks for name and password and i tried all the default ones).  I will call cable company and ask, but what should i ask them to set it to bridged or not (what is the other option) thanks again.

Hi, the alternative to Bridged mode is usually NAT.
Bridged is definitely preferred over NAT.
PPPoE is another possibility, which is fine too.

If your Astaro's IP is NOT a RFC 1918 address then you're already in Bridged or PPPoE mode and you don't need to do anything.

As far as the dropped traffic, unless there are millions of them (which would warrant a deeper investigation), ignore them or create a PF rule to drop them without logging.

Barry G