Thread Info
  • State Suggested Answer
  • +1 person also asked this people also asked this
  • Locked Locked
  • Replies 14 replies
  • Answers 1 answer
  • Subscribers 3 subscribers
  • Views 14020 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[help]60001 again!

FrankBarmentlo 
2013:03:23-16:05:27 UTM ulogd[4440]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="92.238.83.22" dstip="192.168.2.248" proto="17" length="105" tos="0x00" prec="0x00" ttl="115" srcport="15402" dstport="6112" 
2013:03:23-16:05:27 UTM ulogd[4440]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="175.136.108.112" dstip="192.168.2.248" proto="17" length="108" tos="0x00" prec="0x00" ttl="107" srcport="6112" dstport="6112" 


how can I fix this? I already made those rules to accept the following traffic: 
those ports:
0:65###(full range) to 6112
6112 to 6112 
6112 to full range
are allowed from any to any. (Can't access the exact rules, needed to bypass as soon as possible.),
but it still get's dropped by rule 60001, what can I do to avoid this?


This thread was automatically locked due to age.
  • 0
    The target appears to be 192.168.nothing? That is most likely your problem, is it a DNAT or something to a definition you have made in error or trying to define an entire network in the wrong way perhaps?
  • 0
    nah, I cut that part out to summarize it
    I copy my logs to excel, edit the local adresses(from 192.168.123.*(internal) or 192.168.2.0(DMZ) to 192.168), cut out the time and date, and then remove the duplicate items, so all 
    I saw loads of those items, and was in a hurry to get this connection going, so I posted them after changing the local adresses.
    in the original log, that is the external IP from my UTM.
  • +1
    Frank, this feels like what I call Rule #3:

    Never create a Host/Network definition bound to a specific interface.
    Always leave all definitions with 'Interface: >'.


    Did that help?

    Cheers - Bob

  • 0
    this are the 2 rules I made in the Firewall for those packets.
    source:Internal (Network)
    Services: Games
    destination:Internet IPv4
    Group: Essentials

    source: Any Ipv4
    Services: Games
    Destination: Internal(Network)
    Group:Essentials

    I only used existing Definitions, and I checked everything if it has the interface set as "Any"
  • 0
    OK, so the Host definition for 192.168.2.248 is not bound to a specific interface.  How about a picture of the DNAT related to this?

    Cheers - Bob
  • 0
    192.168.2.248 is my external interface.


    does DNat have to be in place with those firewall rules?

    DNat:


    what exactly does the rule mean? I know it's a default drop, but what are the conditions for 60001?

    traffic comes from internal client, goes to an internet address.
    that address replied, but the reply is getting dropped at my external interface.. is that just because there's no DNAT rule in place?
  • 0
    Change the DNAT traffic selector ANY -> GAMES -> External Interface (192.168.2.248)

    Then either check Automatic Filter rules or create your own for the traffic.
  • 0
    Dilandau nailed the answer.  It's what I call Rule #4:

    When creating DNATs for traffic arriving from the internet, in "Going to:" always use the
    "(Address)" object created by WebAdmin when the interface or the Additional Address was defined.
    Using a regular Host object will cause the DNAT to fail as the packets won't qualify for the traffic selector.


    192.168.2.248 is my external interface.

    As you can see now, this was the important detail.  It was confusing that the packets were being "default dropped out of the INPUT chain" (60001) when going to a private IP.  You might see if you can bridge your modem and get your public IP onto your External interface so that there's no double-NAT.

    Cheers - Bob
  • 0
    that bridging is out of the question. the modem is from my ISP, and all i can change are wireless settings and DHCP-settings.
    replacing isn't allowed either, so I don't have much choice
  • 0
    so.. Ran into this error again.. now when I try to hit ANY website, it drops the webserver's reply using rule 60001,
    you are not going to tell me I need to create a DNAT rule for this stuff,
    it worked before, so why won't it work right now?
    modules enabled are firewall, Webfiltering, net visibility(&QoS) and the IPS,
    could it be an error with the webfilter that needs to be reloaded?