Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 2 subscribers
  • Views 3096 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Network Protection: Issues with Excessive Default Drop

Alex_P_01
Got a little issue here. Like the the title says I am getting excessive Default Drops and its all coming from 3 devices. 1 is Direct TV box, 1 are Android, and finally VM Client connected to ESXi (which is not shown on this Live Log). I have already created the service definitions and enabled rule for the firewall, 

Any Internal (Network) > Service (Destination Port 47653 or 15740 Source Range 1:65535) > Any

But I am not sure why its going to the router which is 192.168.2.1. I have ICMP through Gateway turned on as well as Ping and Traceroute through Gateway, figuring it might want to get out somehow. But still get the messages.

I also, temporarily enabled Allow ICMP on Gateway, Allow ICMP through Gateway, and to Log ICMP redirects. But this has not cleared up the problem.

The 192.168.2.12 is the Direct TV receiver,  and the X.19 is the one Android device. As of yesterday I have 9k packet drops between X.X.X.12 & X.X.X.19

Any help would be appreciated. - Alex



This thread was automatically locked due to age.
Parents
  • 0
    Hi, 

    I'm guessing that 192.168.2.1 is the firewall's LAN Address.

    So, the question becomes:
    a. what are the devices trying to do?
    b. why are they trying to talk to the firewall on those ports? (instead of to another device or to an internet address)
    c. are the devices/apps working? If so, the log entries can be ignored, or you can create new rules to drop the traffic to the UTM interface, with logging disabled.

    Barry
Reply
  • 0
    Hi, 

    I'm guessing that 192.168.2.1 is the firewall's LAN Address.

    So, the question becomes:
    a. what are the devices trying to do?
    b. why are they trying to talk to the firewall on those ports? (instead of to another device or to an internet address)
    c. are the devices/apps working? If so, the log entries can be ignored, or you can create new rules to drop the traffic to the UTM interface, with logging disabled.

    Barry
Children
No Data