Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 3 replies
  • Subscribers 0 subscribers
  • Views 760 views
  • Users 0 members are here
Options
Suggested

[9.195][ANSWERED] Snort Problem

mos4567
The update to  9.195-6  caused some major problems. Websites like cnn.com, google.com, and other became inaccessible and some devices could no longer connect to the network when trying to do so behind the box running the beta.

The problem turned out to be Intrusion Prevention,  turning it off fixes things. 
The Intrusion Prevention logs shows lots and lots of  "BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" (19187) alerts as well as some 
"PROTOCOL-ICMP unassigned type 1"  (458)
Parents
  • 0
    The update to  9.195-6  caused some major problems. Websites like cnn.com, google.com, and other became inaccessible and some devices could no longer connect to the network when trying to do so behind the box running the beta.

    The problem turned out to be Intrusion Prevention,  turning it off fixes things.
    The Intrusion Prevention logs shows lots and lots of  "BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" (19187) alerts as well as some
    "PROTOCOL-ICMP unassigned type 1"  (458)


    Yes...but the 19187 is a alert only and never affected my UTM / traffic But I had hundreds of those alerts per day since months, so I disabled that rule a while ago. I got it mostly from the dns answers from the utm dns proxy (srcport 53) to my SUM in the DMZ (changing high ports).

    Sorry for short answers and typos. was written on mobile using astaro.org app.
Reply
  • 0
    The update to  9.195-6  caused some major problems. Websites like cnn.com, google.com, and other became inaccessible and some devices could no longer connect to the network when trying to do so behind the box running the beta.

    The problem turned out to be Intrusion Prevention,  turning it off fixes things.
    The Intrusion Prevention logs shows lots and lots of  "BAD-TRAFFIC TMG Firewall Client long host entry exploit attempt" (19187) alerts as well as some
    "PROTOCOL-ICMP unassigned type 1"  (458)


    Yes...but the 19187 is a alert only and never affected my UTM / traffic But I had hundreds of those alerts per day since months, so I disabled that rule a while ago. I got it mostly from the dns answers from the utm dns proxy (srcport 53) to my SUM in the DMZ (changing high ports).

    Sorry for short answers and typos. was written on mobile using astaro.org app.
Children
No Data
Unfiltered HTML