Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 9 replies
  • Subscribers 2 subscribers
  • Views 6938 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Can't get firewall to stop dropping packets

ibell63
I've found that even if I put in a rule that says to allow anything, the firewall service still drops lots of packets according to the live log and actual log file.  Here's the rule I put in to try to disable the firewall.

Source --> Service --> Destination

Any -----> Any -----> Any

Please don't reply and tell me not to put this rule in.  I understand it will make the firewall allow anything.  That isn't the point.  The point is that there appears to be an issue with rule processing.

Firmware version is 9.201-23

This is really frustrating.  I've tried a bunch of different rules and I can't seem to find anything that makes the firewall lax enough to not drop tons of Netflix packets.

Am I missing something?


This thread was automatically locked due to age.
  • 0
    Here's a screen of my firewall rules and the resulting live log.  The masked IP ending in .92 is my outside IP.

    I have not changed any of the default settings in the NAT section.
  • 0
    Hi, ibell63, and welcome to the User BB!

    The firewall life log is designed to let you watch traffic as it's processed, but it's not very good for analyzing a problem. Please post several corresponding lines from the full firewall log file. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Here are a few good examples from the log.  I want this traffic to be accepted.

    What are rules 60001 and 60003?

    2014:04:21-19:31:56 IronCurtain ulogd[4513]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1:5c:23:b2:c1" dstmac="***:60" srcip="66.0.23.18" dstip="***.***.***.92" proto="6" length="48" tos="0x00" prec="0x00" ttl="117" srcport="2983" dstport="3390" tcpflags="SYN" 

    2014:04:21-19:32:14 IronCurtain ulogd[4513]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:1:5c:23:b2:c1" dstmac="***:60" srcip="66.0.23.18" dstip="***.***.***.92" proto="6" length="40" tos="0x00" prec="0x00" ttl="245" srcport="2983" dstport="3390" tcpflags="RST" 

    2014:04:21-19:32:33 IronCurtain ulogd[4513]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:13:20:61:59:8a" srcip="111.168.21.82" dstip="192.168.0.201" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="443" dstport="1370" tcpflags="RST"
  • 0
    Also, forgot to mention, thanks for the reply!  If you need more log lines, let me know.
  • 0
    The RST packets may or may not be important, but the first packet is.  It's a default drop out of the INPUT chain (60001).  It's likely that you have run afoul of #2, #3 or #4 in Rulz.  Any luck with any of those?

    Cheers - Bob
  • 0
    Thanks for the reply.  You're probably right as I've never looked at that FAQ before.

    I'm looking into rules 2,3, and 4 now.  I'll let you know how it goes.

    Thanks again,

    Ian
  • 0
    Any word on this? I'm having the same problem. 
    BAlfson, I read over your rulz, and I think I have them right. I don't understand the first part of #3 though.

    Here's a line from my log: 2014:05:08-09:14:14 DellUTM ulogd[25453]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:90:7f:94:97:5d" dstmac="0:4:5a:85:33:b" srcip="x.x.x.x" dstip="y.y.y.y" proto="6" length="48" tos="0x00" prec="0x00" ttl="127" srcport="56869" dstport="443" tcpflags="SYN"

    Update: I just realized the DNATs are disabled by default. I think turning them on might have fixed it. [:)]
  • 0
    I still haven't figured this out.  I'm reinstalling ASG this weekend.  I don't have any DNATs.  Is there a default DNAT I should have that will forward this traffic to the correct place by default?
  • 0
    No, there are no default DNATs. Do be sure to check out the Rulz link above.

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.