Default deny rule events auf dem LAN Interface - Warum?

[wegi]

Hi,

noch eine Anfänger-Frage...

Ich sehe im FW-Log häufig blocks die folgende Charakteristik haben:  dir: [in], src:  eine LAN Adresse, dst: eine Internet Adresse, action: block

Was ist das??? Default ist, dass aller Traffic aus dem LAN erlaubt ist, die IPs, die hier auftauchen sind alle möglichen Devices im lokalen Netz (Smartphones, Sonos etc.)

Die Direction "In" ergibt für mich keinen Sinn... Es müsste doch immer ein "Out" sein, oder nicht?

Beispiel

__timestamp__   2022-02-07T21:53:10
ack   273400872
action    [block]
anchorname   
datalen   24
dir    [in]
dst   142.250.185.106
dstport   443
ecn   
id   43935
interface   vtnet0
interface_name   lan
ipflags   DF
ipversion   4
label   Default deny rule
length   76
offset   0
protoname   tcp
protonum   6
reason   match
rid   02f4bab031b57d1e30553ce08e0ec131
rulenr   10
seq   2583076251:2583076275
src   192.168.1.76
srcport   44034
subrulenr   
tcpflags   FPA
tcpopts   
tos   0x0
ttl   64
urp   212

[tiermutter]

Out of state packets ;)
Findest Du sicherlich etliches zu...

[wegi]

Ahh... Danke für den Hinweis :-)

Also nix, worüber man sich Sorgen machen müsste.  8)

Ganz OT: Ich bin in den letzten Jahren irgendwie in so eine "Management" Rolle in der IT gerutscht und darf nur noch Kostenstellen planen, Verträge prüfen oder anderen Orga-Schaizz machen. Ich habe lange nicht mehr so viel Spaß gehabt, wie mit diesem kleinen Home-Net Projekt. :D

[JeGr]

Ist doch schön wenn man Spaß dran hat :)

Wichtig ist an der Stelle nicht das Offensichtliche mit IPs, sondern das hier:

> tcpflags   FPA

FIN, ACK, PSH. Da ist wohl eine Verbindung recht abrupt beendet worden oder es gab Nachzügler durch offene Verbindungen (Push) die noch Daten geschoben haben. Da der State aber schon gelöscht oder expired war, sind die gegen die (Brandschutz)Wand gelaufen ;)