Firewall not blocking established connections

Bob, I think 27685 was for a newly-saved rule - what happens if you Edit/Save your rule?  Are you sure the traffic wasn't allowed by a proxy?

Cheers - Bob

I am sure Bob.  My rules have not changed. The firewall rule with the time definition kicks in, I see the "block messages" in the live log for the firewall, but the traffic is NOT blocked.  Same behavior we saw a while back.  Sorry if it is the wrong Mantis ID I pasted in there...

Bob, did you try the Edit/Save trick?

Cheers - Bob

BAlfson - My problem was never with "new rules".  I can try editing/saving a rule when the issue is occurring to see if the "save" of the rule forces the connection to drop and the firewall rules to be honored.    I re-read the whole thread where Mantis ID 27685 was mentioned and I didn't see anything related to just "new rules" having an issue.

Basically I have a Blocking Firewall rule #4 that doesn't take apply until 23:00.  Rule #7 is an allow rule with no Time Definitions applied.  I see lots of "green traffic" in the logs till 22:59:59 with rule #7.  At 23:00:00 the firewall log turns "red" specifying that rule #4 is dropping traffic.  In fact, no traffic is being dropped and the users can continue to use applications until I bounce the interface.

Saving/resaving the rule every night at 23:00 isn't an option or not any better than just bouncing the interface.  

Sorry if my explanation is not clear on the issue.

BBlank

Earlier version used to do this, but somewhere around a late V7 version that function got lost. I wasn't aware that it had been re-instated, not that I need it now.

Ian

Bob, I wasn't suggesting that as a workaround, rather as an attempt to debug the issue so that maybe we can get a dev to take a look at this thread.  Then again, green to red without a drop is pretty self-explanatory! [;)]

How about posting the two lines from the Firewall log file (not the Live Log) showing the pass at 22:59:59 and the "block" at 23:00:00?

Cheers - Bob

Here is a snippet from the packetfilter log... FW Rule #8 allows all devices Internet access.  FW rule #6 blocks some devices based on a time definition.  I have included snapshots of the rules and time definitions.  I filtered the packet filter log to just show one of the devices that "Should have been blocked" IP Address = 192.168.2.118.   In this example, it looks like the PC (Mac) was talking to something at Google.   I know for a fact that Spotify traffic does not stop when the time definition is reached.  

Hope this helps.  

Bob.

Bob, I think I could figure it out, but do you know tcpdump well enough to add a line to /etc/crontab-static to record 100 lines of packets going to that internal IP beginning at 21:00?

Cheers - Bob

OK - I recreated the test by cloning my time based rule and only applying it to one user (192.168.2.118 who is also known as David. [:)] )  

The Time based rule is #6 and the "Allow rule" further down the rule list is #9.   I changed the time definition to start at 20:00 and just did the tcpdump manually instead of using cron.

Interesting thing... you can see in the packetfilter.log (david.log.txt) that the firewall starts to block traffic, but for this short test it was only port 53 getting blocked.  If you look in the pcap file, david.zip (which contains david.pcap) you can see all sorts of traffic still going on after the clock struck 20:00.

Let me know if you think I missed something...  I took pictures of the rules, the time definitions, and provided a snippet from the packetfilter.log as well as a tcpdump.

Thanks!  Bob Blank