Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 2 subscribers
  • Views 164618 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Default drop although last rule is "reject any any any"

ChrisH1
Title says it all:
Although I have a rule "reject from any to any using any service" at the bottom, I still see "DEFAULT DROP" entries in the live firewall log. Why is that? 
UTM 9 Essential edition, so no IDS or Threat detection or whatever active.


This thread was automatically locked due to age.
  • 0
    Chris, please post one such line from the full Firewall log file, not from the Live Log.

    Cheers - Bob
  • 0
    2014:09:23-09:09:49 H-GATE3 ulogd[4184]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:26:88:75:cb:a3" dstmac="0:50:56:0:40:5f" srcip="80.93.221.248" dstip="144.76.60.28" proto="6" length="40" tos="0x00" prec="0x00" ttl="45" srcport="59581" dstport="445" tcpflags="SYN" 

    Which is doubly annoying, because in addition to the "reject any and log" rule I also have a higher rule to drop all TCP/445 connection attempts silently to avoid filling up my logfiles.
  • 0
    Chris, you need a rule that uses 'Internet -> Any -> {group of "External (Address)" objects}'.  Your 'Any Any Any' rule only applies to packets in the FORWARD chain, and "60001" means that this is a drop out of the INPUT chain.

    Cheers - Bob
  • 0
    Thanks for your answer, Bob. So "Internet" is not part of "Any", and neither are my external addresses? That's - unintuitive, to avoid a stronger word.
    Is this documented anywhere? Why only the external addresses?
    Does this mean I can use "any" only if there is some NAT mechanism involved in the connection?

    Why can't it just create a rule in all chains, so the end result is what the user expects? I mean, what's the point of a clicky-clicky-drag-drop GUI if I have to manually check the rules generated by it anyway? 
    It could at least mention the chain somewhere in the GUI (and the logs) if it is so important for the result. Relying on the user to recognize magic numbers is a litte too obscure for me.
  • 0
    Chris, "Internet" is a part of "Any" but it's clearer when traffic can't be coming from anywhere, just from the outside.  There are other situations where the distinction is essential.  For example, to allow devices in a DMZ to access updates, you want an allow rule for 'DMZ (Network) -> Any -> Internet' traffic.  If you were to use "Any" as the destination, you would negate the entire purpose of having a DMZ.

    These things are intuitive when you have a better understanding of what you're working with.  #2 in Rulz will help you "see" what's going on.

    Cheers - Bob
  • 0 in reply to BAlfson
    Chris, "Internet" is a part of "Any"

    So why does a rule with source "Any" not work on connections from "Internet"?

    but it's clearer when traffic can't be coming from anywhere, just from the outside.  There are other situations where the distinction is essential.  For example, to allow devices in a DMZ to access updates, you want an allow rule for 'DMZ (Network) -> Any -> Internet' traffic.  If you were to use "Any" as the destination, you would negate the entire purpose of having a DMZ.

    Well that's not a very good example, because in my case the traffic CAN come from anywhere. I want to drop ALL SMB traffic, from the internet as well as from the DMZ.

    These things are intuitive when you have a better understanding of what you're working with.

    I have been working with firewalls for more than 20 years now, and this level of "why doesn't it do what it says it does" reminds me of the bad old MS ISA days.
    And #2 does not help here at all. There is no Conntrack, no DNAT, no Proxying for TCP/445 connections here - only the manual firewall rule, and that doesn't work.
  • 0
    I'm sorry you're having a bad day.

    Cheers - Bob
  • 0
    My day was great, thanks for asking. Can we get back to firewalls?
  • 0 in reply to ChrisH1
    Hi Chris

    Let´s explain it that way.

    Any drops with 60000ies fwrule are internal drops of any of the internal services as IDS/IPS, Proxies, flooding Protection etc. which are based from the implicit (automatic rules) required to run those services. As those are handled before userbased rules or bypasses userbased rules (already mentioned: input chain instead forward) the last reject rule isn´t effective for those drops.

    I also use 2 last rules with reject w.log and drop w/o log to minimize packetfilter logging...however, those internal drops are always logdrops and cannot be modified.

    Also have a look into that one:
    Packetfilter logfiles on the Astaro Security Gateway

    Hope that explanation shed some light on that matter.

    /Sascha