This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Default drop although last rule is "reject any any any"

Title says it all:
Although I have a rule "reject from any to any using any service" at the bottom, I still see "DEFAULT DROP" entries in the live firewall log. Why is that? 
UTM 9 Essential edition, so no IDS or Threat detection or whatever active.


This thread was automatically locked due to age.
Parents
  • Chris, "Internet" is a part of "Any" but it's clearer when traffic can't be coming from anywhere, just from the outside.  There are other situations where the distinction is essential.  For example, to allow devices in a DMZ to access updates, you want an allow rule for 'DMZ (Network) -> Any -> Internet' traffic.  If you were to use "Any" as the destination, you would negate the entire purpose of having a DMZ.

    These things are intuitive when you have a better understanding of what you're working with.  #2 in Rulz will help you "see" what's going on.

    Cheers - Bob
Reply
  • Chris, "Internet" is a part of "Any" but it's clearer when traffic can't be coming from anywhere, just from the outside.  There are other situations where the distinction is essential.  For example, to allow devices in a DMZ to access updates, you want an allow rule for 'DMZ (Network) -> Any -> Internet' traffic.  If you were to use "Any" as the destination, you would negate the entire purpose of having a DMZ.

    These things are intuitive when you have a better understanding of what you're working with.  #2 in Rulz will help you "see" what's going on.

    Cheers - Bob
Children
  • Chris, "Internet" is a part of "Any"

    So why does a rule with source "Any" not work on connections from "Internet"?

    but it's clearer when traffic can't be coming from anywhere, just from the outside.  There are other situations where the distinction is essential.  For example, to allow devices in a DMZ to access updates, you want an allow rule for 'DMZ (Network) -> Any -> Internet' traffic.  If you were to use "Any" as the destination, you would negate the entire purpose of having a DMZ.

    Well that's not a very good example, because in my case the traffic CAN come from anywhere. I want to drop ALL SMB traffic, from the internet as well as from the DMZ.

    These things are intuitive when you have a better understanding of what you're working with.

    I have been working with firewalls for more than 20 years now, and this level of "why doesn't it do what it says it does" reminds me of the bad old MS ISA days.
    And #2 does not help here at all. There is no Conntrack, no DNAT, no Proxying for TCP/445 connections here - only the manual firewall rule, and that doesn't work.