Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3094 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Protection: Issues with Excessive Default Drop

Alex_P_01
Got a little issue here. Like the the title says I am getting excessive Default Drops and its all coming from 3 devices. 1 is Direct TV box, 1 are Android, and finally VM Client connected to ESXi (which is not shown on this Live Log). I have already created the service definitions and enabled rule for the firewall, 

Any Internal (Network) > Service (Destination Port 47653 or 15740 Source Range 1:65535) > Any

But I am not sure why its going to the router which is 192.168.2.1. I have ICMP through Gateway turned on as well as Ping and Traceroute through Gateway, figuring it might want to get out somehow. But still get the messages.

I also, temporarily enabled Allow ICMP on Gateway, Allow ICMP through Gateway, and to Log ICMP redirects. But this has not cleared up the problem.

The 192.168.2.12 is the Direct TV receiver,  and the X.19 is the one Android device. As of yesterday I have 9k packet drops between X.X.X.12 & X.X.X.19

Any help would be appreciated. - Alex



This thread was automatically locked due to age.
  • 0
    I have searched a little, but didn't find any apps using the port numbers you mentioned. But why don't you try to look at it from the other way; Is there anything not working on your Android that should actually work? You may be able to find a solution by searching from that perspective.
    Otherwise, if you don't think something is not working, then I wouldn't bother. Why did you even create firewall rules for this traffic if you don't (yet) know what this traffic is doing?
  • 0
    Hi, 

    I'm guessing that 192.168.2.1 is the firewall's LAN Address.

    So, the question becomes:
    a. what are the devices trying to do?
    b. why are they trying to talk to the firewall on those ports? (instead of to another device or to an internet address)
    c. are the devices/apps working? If so, the log entries can be ignored, or you can create new rules to drop the traffic to the UTM interface, with logging disabled.

    Barry
  • 0
    Version of UTM?  How are the two devices connected to the UTM - both via WiFi?  Are you using a Sophos AP?

    Cheers - Bob
  • 0
    The version of the screen grab was 9.103-5, but its also happening on 9.104-17.

    I don't have a Sophos AP, but x.19 is connected via a Linksys WAP54G via switch. I know its not ideal, but it is what it is for the moment.
    The X.12 (Direct TV) is connected via Ether via Switch. 

    Think I found the Android X.19 issue, it was trying to do a media share and detect connection..

    But that leaves the longest on going issue with X.12.

    If i was to create a rule do not log the default drops how would i go about that?
  • 0
    Those IPs all are in the same subnet.  Why is the traffic for them transiting the UTM at all?

    Cheers - Bob
  • 0 in reply to BAlfson
    Those IPs all are in the same subnet.  Why is the traffic for them transiting the UTM at all?

    Cheers - Bob


    It's what I'm wondering as well. The Direct TV is suppose to be setup via DHCP which is taken care by Sophos UTM, which sits on X.X.2.1.

    I should mention that this is being used on a home network, and not a business network. 

    Used to have a Netgear Wifi Router that slowly died and decided to go this route. 

    I might have to talk to Direct TV and see what their device is doing. But that being said, I get the same Default Drop when I am connected to ESXi Server from my VM Client. Both IPs are on the same subnet, it's using SSDP(not familiar with it), and I have all ESXi service definitions enable to allow the connection.
  • 0 in reply to Alex_P_01

    If i was to create a rule do not log the default drops how would i go about that?


    New Firewall Rule:
    Source: LAN Interface NETWORK
    Dest: LAN Interface ADDRESS
    service: ANY
    REJECT or DROP (reject is helpful for internal traffic)
    LOG UNCHECKED.

    This MUST be the last (bottom) firewall rule, as it will disable any outbound rules below it.

    You can also put LAN interface Broadcast into the destinations if you want.

    Barry