Port 5294

Do you have anything trying to communicate out on that port number from the network? It's an unassigned port so it could be used for anything. 

What you can do to see if something is communicating out from the network and the remote device is trying to respond and being blocked is SSH into the UTM and get to root then use a netstat command. When you use netstat, it can flood you with information but you can filter the list with the following:

netstat -plnt | grep ':5294'

The character after -plnt is a pipe (generally shift+backslash).

This is unlikely to show anything because that's a SYN packet which is the start of a connection opener but could be worth checking to see if anything is trying to use your UTM for that traffic but no firewall rule is made.

If nothing is making the firewall listen then it could be because of something malicious or otherwise.

Hi E.Belcourt

I dont think that UTM listen at all on the port 5294 that is way it block the access,
I did check the firewall logs and came acroos more IPs from untrusted network that try to access the same port but the UTM block it.

question is whitch machine on my truseted network try to access that port!!

Thanks

Glad you found more info, I hope you find out what is trying to probe that port and discover it's legitimacy [:)]

Hi E.Belcourt

I did check the log one more time and problem is that almost impossible to findout witch machine on the trusted network try to access the port 5294.
the reson is that port 5294 get blocked at UTM and socurce port each time is different.

as you can see in this 2 log entry:

[HTML]015:10:05-09:06:47 securitysrv1-1 ulogd[13301]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="54:e0:32:06:76:9a" dstmac="00:1a:8c:f0:0f:a1" srcip="82.XX.XX.54" dstip="62.XX.XX.184" proto="6" length="52" tos="0x00" prec="0x00" ttl="120" srcport="63182" dstport="5294" tcpflags="SYN" 
2015:10:05-09:06:47 securitysrv1-1 ulogd[13301]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="54:e0:32:06:76:9a" dstmac="00:1a:8c:f0:0f:a1" srcip="82.XX.XX.54" dstip="62.XX.X.184" proto="6" length="52" tos="0x00" prec="0x00" ttl="120" srcport="63183" dstport="5294" tcpflags="SYN" [/HTML]

Hi E.Belcourt

I did check the log one more time and problem is that almost impossible to findout witch machine on the trusted network try to access the port 5294.
the reson is that port 5294 get blocked at UTM and socurce port each time is different.

as you can see in this 2 log entry:

[HTML]015:10:05-09:06:47 securitysrv1-1 ulogd[13301]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="54:e0:32:06:76:9a" dstmac="00:1a:8c:f0:0f:a1" srcip="82.XX.XX.54" dstip="62.XX.XX.184" proto="6" length="52" tos="0x00" prec="0x00" ttl="120" srcport="63182" dstport="5294" tcpflags="SYN" 
2015:10:05-09:06:47 securitysrv1-1 ulogd[13301]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="54:e0:32:06:76:9a" dstmac="00:1a:8c:f0:0f:a1" srcip="82.XX.XX.54" dstip="62.XX.X.184" proto="6" length="52" tos="0x00" prec="0x00" ttl="120" srcport="63183" dstport="5294" tcpflags="SYN" [/HTML]

Cant you work it out from the ip address, if not, use the mac address decoder

(one of the is a Juniper Networks device, the other is the UTM)

As Aimee notes, your problem seems to be that you and the source of the packets are behind the Juniper.  You won't find the answer in the UTM as it is simply blocking a packet from the Juniper, and the source of that packet has been masqueraded with the public IP of the Juniper.

Cheers - Bob