Default Deny Rule greift, obwohl sie nicht sollte

[theq86]

Ich beobachte momentan, dass die default deny rule auf meinem LAN öfter mal anspringt, obwohl ich es nicht erwarten würde.
Mein LAN Interface hat eine statische IP von 10.0.0.1/24. Ich habe in der Firewall an LAN die " Default allow LAN to any rule".
Diese besagt: Aus dem LAN Network erlaube jeglichen Traffic.

Ich erwarte also, dass alles aus dem Netz 10.0.0.0/24 zum LAN Network gehört und somit ungehindert das LAN Interface passieren kann.

Dennoch werden einige Dinge geblockt und das Log sagt, es sei wegen der Default Deny Rule.

Beispiel:
10.0.0.209:57550 --> (Pfeil nach rechts im Log) 108.129.22.15:5223 (TCP)

Details:

Code Select Expand


__timestamp__ Oct 14 22:34:34
ack 230790626
action [block]
anchorname
datalen 200
dir [in]
dst 108.129.22.15
dstport 5223
ecn
id 5769
interface vtnet0
ipflags DF
label Default deny rule
length 252
offset 0
proto 6
protoname tcp
reason match
rid 02f4bab031b57d1e30553ce08e0ec131
ridentifier 0
rulenr 14
seq 1938655:1938855
src 10.0.0.209
srcport 57550
subrulenr
tcpflags FPA
tcpopts
tos 0x0
ttl 64
urp 730
version 4


Warum wird sowas geblockt?

IDS/IPS ist im Übrigen nicht aktiviert.

[chemlud]

Der Klassiker. Lies mal was zu out-of-state traffic... ;-)

[hbc]

Die Frage wäre ja, wie man dem gegenwirkt.

Würde bei Firewall-Optimization eine der beiden Optionen gegenwirken?

high-latency    Used for high latency links, such as satellite links. Expires idle connections later than default
conservative    Tries to avoid dropping any legitimate idle connections at the expense of increased memory usage and CPU utilization.

Wenn man nicht gerade miesen SAT-Link hat, würde vermutlich conservative die beste Option sein. Richtig?

[chemlud]

Wie heißt es so schön:

"The question is: What is a Mahna Mahna?

No, the question is: Who cares?" :-D