Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 5756 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Drop RDP connection

Aresh
Hi,

I have a very strang issue,
I have a DNAT that must allow access to the RDP to a server behind the UTM just from  some location. I did create a group and add the allowed IP address to the list and it work as it should.just one customer cannot access I did add their IP to the list but when try to log they get this: 

2015:09:09-09:26:58 securitysrv1-1 ulogd[30899]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="54:e0:32:06:76:9a" dstmac="00:1a:8c:f0:0f:a1" srcip="95.XX.XX.84" dstip="62.XX.199.XX" proto="6" length="52" tos="0x00" prec="0x00" ttl="113" srcport="55735" dstport="3389" tcpflags="SYN" 

2015:09:09-09:27:01 securitysrv1-1 ulogd[30899]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" 



Why is that? I did add the same IP to the list why UTM drop the connection?

Thanks


This thread was automatically locked due to age.
  • 0
    if I add the Any to the source the problematic customer can access why is that?
  • 0
    I'm not sure, but this might be the bug that requires you to open the rule and save it after you've changed a Network/Host object used in a NAT or Firewall rule.  Try that and please report back with the result and the version of UTM.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0
    Hi Bob

    Version of the utm is 9.313,3 
    I dont know what is going on here but i did remove the problematic network from the dnat rule and as you said re-added it back and save the rule again now i can see the problematic customer can access
    I will keep en eye on this and report back
    Thanks for the tip
  • 0
    Hi Aresh. Are you allowing RDP ports to internet? I see you're using the standard RDP port 3389. This wouldn't be considered best practice as this exposes your remote server to unauthorized access. Why not have a VPN setup and manage RDP access as if the device was on your network?
  • 0
    have you ticket "automatically create Firewall rule" in NAT section or created an equivalent Firewall rule?
  • 0
    Hi
    Thank you all for the reply,

    I think Bob was right, I did first remove the problematic network from the sourrce then save the NAT rule and sfter that readd the problematic network and now everything working correctly.

    Thanks
  • 0
    I believe that this was fixed in 9.314, and I recommend that as well as 9.315.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thank you Bob I will upgrade the firmware to the last version.
Cookie Information Banner