Firewall colors in the log.

It's a NAT Rule :-) But you are right, it's not documented in the OnlineHelp:

Open Live Log: This will open a pop-up window containing a real-time log of filtered packets, whose regularly updating display shows recent network activity. The background color indicates which action has been applied:

Red: The packet was dropped.
Yellow: The packet was rejected.
Green: The packet was allowed.
Gray: The action could not be determined.

Thanks Gaston. What about question 2?  Am I missing something?

Thank you,
C68

That's normal enough. A white/gray shaded packet coming from a external source on a low numbered port (the part after the colon, typically below 1024) to an internal IP on a random higher numbered port, indicates return traffic related to an existing allowed connection.

In this case, that looks like traffic going back to your PC from an https website you were connected to. RST usually indicates a reset connection (probably disconnect) The following red colored line was a second packet sent by the external server, and was rejected because the https connection was most likely already terminated.

@Gaston:
I understood white/grey to mean that the packet was related to an existing allowed connection.

If it is to a previous connection it would explain why there is a "direct connection" from an external IP to my internal IP. However, does not NAT really hide this? I am guessing NAT rebuilt the connection with the correct IP and that is why I see it this way.

Thoughts?

Thanks,

C68

The logging afaik unravels the NAT on the firewall so you see the true source and destination pairs, not the NAT'd one.

Thanks Drew. 

Do you know if is using X-Forward-For to do this, or is it pulling it from the state table?