Hallo,
die Pakete werden klarerweise von der UTM gedropped weil - kurz und bündig: Was soll sie mit dem Sentinel Lizenzdongle?
Dass die UTM die Broadcastpakete dropped heißt ja nur, dass sie diese nicht empfängt (oder viell. besser formuliert: verarbeitet) - andere Geräte, die an der selben Schnittstelle und somit wahrscheinlich auch im selben LAN hängen sind davon klarerweise nicht betroffen (die empfangen den Broadcast ja wie gehabt weiterhin).
Was klarerweise nicht geht ist Dongle steckt im internal-lan und der Client dazu steht in der DMZ.
Portfilterziele:
Die network-Objekte stehen sozusagen für ein komplettes Subnet - allerdings exkl. Schnittstellen der UTM im jeweiligen Subnet
Um auf ein UTM-Interface zugreifen zu können, benötigt man immer eine Regel mit dem jeweiligen interface-Objekt als Ziel
Beispiel: SSLVPN - internal-lan
SSLVPN internal-lan any ACCEPT
SSLVPN internal-interface dns ACCEPT
Nun könnte man meinen, DNS mit dem internal-interface als Server funktioniert aus dem VPN heraus - tut es allerdings erst dann, wenn auch die 2. Regel dazu angelegt wird.
DNS aus dem VPN heraus mit einem Server, der im internal-lan steht (z.B. DC) - dafür reicht die erste Regel aus (die gibt dann allerdings aus dem VPN heraus alles auf allen Geräten (außer der UTM) im internal-lan frei, wäre also etwas zuviel des Guten sofern´s nur um DNS ginge).
Auch wenn´s manchmal nervt - ich würde die ganzen Broadcasts jedenfalls nicht durchlassen, weil
a) wird man mit Regel anlegen nicht fertig (heute schaut einer mit installierter Dropbox vorbei, morgen tauscht der ISP den Router (da sind manche auch sehr neugierig), übermorgen ein neuer Lizenzdongle, und in 2 Monaten kommt irgendein Virus daher der auch munter Broadcasts verschickt, ...)
b) kann man so relativ fix - zumindest in Kombination mit den Logs am SOC - feststellen, wer z.B. eine Dropbox am Laufen hat
c) hab ich zugegebenermaßen auch schon mit dem Gedanken gespielt Broadcasts einfach zu erlauben oder zumindest ohne Logging zu droppen - bin daran allerdings auch bravourös gescheitert...
Was man allerdings machen könnte: In den Servereinstellungen unter "Erweiterte Einstellungen" das Last-Rule-Logging anders einstellen - wenn viell. auch nur temporär.