How To: Block logging of annoying ping requests

Please post the settings for the service-definition "ping".

The only firewall rule specifically rejects ping packets from the one offending device.  The specific rules are in the attachments to the original post.
Attached to this post is an image of the Network Protection > ICMP configuration.

Hi, I suspect the fact that you have ICMP disabled in the first section is what is causing the logging.

I'm not sure how to override it.

Maybe a feature request to add some logging settings to all parts of that page.

What is a 'hopper device'?

Edit: It's not clear from the live log that those are pings; it only says ICMP. Please check the full logs.

Barry

Hi, I suspect the fact that you have ICMP disabled in the first section is what is causing the logging.

I'm not sure how to override it.

Maybe a feature request to add some logging settings to all parts of that page.

What is a 'hopper device'?

Edit: It's not clear from the live log that those are pings; it only says ICMP. Please check the full logs.

Barry

2013:12:05-16:21:40 ravenna ulogd[4818]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="4c:82:cf:2:20:1f" dstmac="0:c:29:f2:87:19" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" length="84" tos="0x00" prec="0x00" ttl="64" type="8" code="0"  
2013:12:05-16:21:43 ravenna ulogd[4818]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="4c:82:cf:2:20:1f" dstmac="0:c:29:f2:87:19" srcip="10.1.0.7" dstip="10.1.1.2" proto="1" length="84" tos="0x00" prec="0x00" ttl="64" type="8" code="0" 

Type 8 is "Echo" or ping.

A hopper device was until a few weeks ago a very cool thing that would record TV programs and when you were watching a commercial there was a button that would skip the entire commercial.  Clicking 6-10 at a time was often necessary for major movies on broadcast networks.  They removed that functionality "automagically" over the interwebs.  It integrates the old "sling" functionality too so you can watch your programs anywhere or on just about any device without duplicating recordings.  Fairly nice but their network programmers are rather irritating.

Hi,

I don't understand why the pings are getting dropped by default since you have the ping settings enabled on the ICMP settings.
(assuming your firewall rule didn't exist at the time)

10.1.1.2 is another device on another local LAN, or is it one of the UTM's IPs?

Barry

10.1.1.2 is the interface of the UTM on the central internal lan.

There seems to be lots of mysteries.

Turning on "Gateway is Ping Visible" should eliminate the logged drops, but will also allow pings from the internet on your UTM (if you worry about that. I don't).

Also see my mention of a feature request above.

Barry

The last time I had that on the number of hacking attempts went through the roof.
I'm not willing to do that.

Seriously, I was getting Day 1 and 2 attempts at some remarkably sophisticated attacks.

No thanks.

Try a drop rule that has the Destination as 10.1.1.2. 

In my experience with Astaro/Sophos using Any in the firewall rules for ICMP does not include the UTM's interfaces. To manually control the traffic you need to specifically state the UTM's interface as the destination.

ICMP type 8 is the echo reply, so it's the anwer to a echo request (PING) that's blocked. That's kinda strange, since it looks like it's answering to a request from the firewall itself.

I don't really have an explanation or a solution for this. Perhaps you could try to change your firewall rule to not go to -> any but to -> Internal (Address)