Default drop although last rule is "reject any any any"

My day was great, thanks for asking. Can we get back to firewalls?

Hi Chris

Let´s explain it that way.

Any drops with 60000ies fwrule are internal drops of any of the internal services as IDS/IPS, Proxies, flooding Protection etc. which are based from the implicit (automatic rules) required to run those services. As those are handled before userbased rules or bypasses userbased rules (already mentioned: input chain instead forward) the last reject rule isn´t effective for those drops.

I also use 2 last rules with reject w.log and drop w/o log to minimize packetfilter logging...however, those internal drops are always logdrops and cannot be modified.

Also have a look into that one:
Packetfilter logfiles on the Astaro Security Gateway

Hope that explanation shed some light on that matter.

/Sascha

Hi Chris

Let´s explain it that way.

Any drops with 60000ies fwrule are internal drops of any of the internal services as IDS/IPS, Proxies, flooding Protection etc. which are based from the implicit (automatic rules) required to run those services. As those are handled before userbased rules or bypasses userbased rules (already mentioned: input chain instead forward) the last reject rule isn´t effective for those drops.

I also use 2 last rules with reject w.log and drop w/o log to minimize packetfilter logging...however, those internal drops are always logdrops and cannot be modified.

Also have a look into that one:
Packetfilter logfiles on the Astaro Security Gateway

Hope that explanation shed some light on that matter.

/Sascha