Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 27 replies
  • Subscribers 2 subscribers
  • Views 164617 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Default drop although last rule is "reject any any any"

ChrisH1
Title says it all:
Although I have a rule "reject from any to any using any service" at the bottom, I still see "DEFAULT DROP" entries in the live firewall log. Why is that? 
UTM 9 Essential edition, so no IDS or Threat detection or whatever active.


This thread was automatically locked due to age.
  • 0 in reply to BAlfson
    Chris, I'm glad you got better explanations.

    Thanks, but now I only have more questions [[:)]]

    Now you'll understand what I tried to say in Post #5.

    I'm still trying to wrap my head around it.

    I'll be happy to go back and edit that post or any other of mine that isn't clear at the first reading.

    Thanks you for that offer. While it looks like I have a workaround to get what I wanted, I still would very much like to understand the thinking behind it - this is software, so someone told it to do what it does. Then I will gladly help working out an explanation that might help the next person understand it [[:)]]
  • 0 in reply to ChrisH1
    So the behavior of the ANY object changes as soon as I have a NAT somewhere, regardless of which interface it's on?


    Hi,

    No, the behavior doesn't change; but your network changes.

    The firewall interfaces addresses are NEVER affected when you have a rule with ANY as the destination.

    What I was saying is that if you have public IPs internally, they would be affected by the ANY rules.
    If you're using NAT, you have no public IPs except the firewall IPs.

    Barry
  • 0 in reply to BarryG
    The firewall interfaces addresses are NEVER affected when you have a rule with ANY as the destination.


    Got it, thanks for the patience. So I'll put my "all extern" object anywhere where I have just ANY now. (I have both NAT and "internal" public IPs, so the external addresses alone are not enough.)

    Just curious now: Does anybody know the reason for that design decision? I still maintain that calling something ANY and then having implicit and invisible exclusions to that is not intuitive.
  • 0
    Just curious now: Does anybody know the reason for that design decision?
     It would be pure speculation on the part of anyone trying to answer this, as this is a user to user forum.  Even were that not the case, there's no one left from the early design days.
  • 0 in reply to Scott_Klassen
    It has been that way forever -- and I can think of one reason (though it might not be the right one).  Given folks' proclivity to use "ANY" well, Anywhere ... the actual interfaces may be excluded to prevent one from killing access to services on the UTM accidentally with a broad brush-stroke "ANY" rule.

    We don't use "ANY" very often at all in the secure configurations we provide customers, but I've gone behind plenty of admins that used ANY for everything under the sun.
  • 0
    May also have to do with how Linux up tables handled rules.

    please excuse any terse replies. Sent from my iPhone.
  • 0
    Amen, brother Bruce!

    Cheers - Bob