This discussion has been locked.

You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Sophos Log zeigt Denied mit Allow Regel

Thomas Klemens over 1 year ago

Hallo Zusammen,

unsere SFV2C4 (VM in Azure) gibt für uns im Log nicht nachvollziehbare Denied Ausgaben.

Wir haben immer wieder Probleme mit der Telefonie und sind der Sache jetzt mal nachgegangen.

Im Log werden zur gleichen Allow Rule, Einträge mit Denied geführt

Hier die Regel dazu:

Die NAT Regel ist eine linked NAT, hier haben wir keine Einstellung geändert.

Wir kennen das von Einträgen mit "Could not associate packet to any connection.", das ist hier aber ja nicht angegeben.
Die Message ist ja leer.

Hat hier jemand eine Idee was das für ein Problem ist ?

Added TAGs
[edited by: Erick Jan at 2:06 PM (GMT -7) on 9 Jun 2023]

Top Replies

Thomas Klemens over 1 year ago in reply to Thomas Klemens +1 verified

Das deaktivieren des SIP Moduls ist das Problem gelöst

Parents

0 Thomas Klemens over 1 year ago

2023-02-27 15:17:05Firewallmessageid="00002" log_type="Firewall" log_component="Firewall Rule" log_subtype="Denied" status="Deny" con_duration="762" fw_rule_id="44" fw_rule_name="SwyxServer -> Peoplefone" fw_rule_section="Local rule" nat_rule_id="0" nat_rule_name="" policy_type="1" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="1" gw_name_request="DHCP_PortB_GW" gw_id_reply="0" gw_name_reply="" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="Session Initiation Protocol" app_risk="2" app_technology="Client Server" app_category="VoIP" vlan_id="" ether_type="Unknown (0x0000)" bridge_name="" bridge_display_name="" in_interface="PortA" in_display_interface="PortA" out_interface="PortB" out_display_interface="PortB" src_mac="74:83:EF:67:BE:BB" dst_mac="60:45:BD:88:AB:B7" src_ip="172.X.X.44" src_country="R1" dst_ip="185.190.125.3" dst_country="CHE" protocol="UDP" src_port="55385" dst_port="38599" packets_sent="121" packets_received="120" bytes_sent="9680" bytes_received="18240" src_trans_ip="172.16.14.4" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="LAN" src_zone="LAN" dst_zone_type="WAN" dst_zone="WAN" con_direction="" con_id="2628144872" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0"

Wir haben eben in der Console das SIP Modul deaktiviert. Das haben wir gerade online noch gefunden.
Seitdem scheint der Log Eintrag weniger häufig aufzutreten. Der Screenshot und der Text dazu ist vom letzten Eintrag, der aber nach der Deaktivierung kam
Cancel
Vote Up 0 Vote Down

Cancel

Reply

0 Thomas Klemens over 1 year ago

2023-02-27 15:17:05Firewallmessageid="00002" log_type="Firewall" log_component="Firewall Rule" log_subtype="Denied" status="Deny" con_duration="762" fw_rule_id="44" fw_rule_name="SwyxServer -> Peoplefone" fw_rule_section="Local rule" nat_rule_id="0" nat_rule_name="" policy_type="1" sdwan_profile_id_request="0" sdwan_profile_name_request="" sdwan_profile_id_reply="0" sdwan_profile_name_reply="" gw_id_request="1" gw_name_request="DHCP_PortB_GW" gw_id_reply="0" gw_name_reply="" sdwan_route_id_request="0" sdwan_route_name_request="" sdwan_route_id_reply="0" sdwan_route_name_reply="" user="" user_group="" web_policy_id="0" ips_policy_id="0" appfilter_policy_id="0" app_name="Session Initiation Protocol" app_risk="2" app_technology="Client Server" app_category="VoIP" vlan_id="" ether_type="Unknown (0x0000)" bridge_name="" bridge_display_name="" in_interface="PortA" in_display_interface="PortA" out_interface="PortB" out_display_interface="PortB" src_mac="74:83:EF:67:BE:BB" dst_mac="60:45:BD:88:AB:B7" src_ip="172.X.X.44" src_country="R1" dst_ip="185.190.125.3" dst_country="CHE" protocol="UDP" src_port="55385" dst_port="38599" packets_sent="121" packets_received="120" bytes_sent="9680" bytes_received="18240" src_trans_ip="172.16.14.4" src_trans_port="0" dst_trans_ip="" dst_trans_port="0" src_zone_type="LAN" src_zone="LAN" dst_zone_type="WAN" dst_zone="WAN" con_direction="" con_id="2628144872" virt_con_id="" hb_status="No Heartbeat" message="" appresolvedby="Signature" app_is_cloud="0" log_occurrence="1" flags="0"

Wir haben eben in der Console das SIP Modul deaktiviert. Das haben wir gerade online noch gefunden.
Seitdem scheint der Log Eintrag weniger häufig aufzutreten. Der Screenshot und der Text dazu ist vom letzten Eintrag, der aber nach der Deaktivierung kam
Cancel
Vote Up 0 Vote Down

Cancel

Children

+1 Thomas Klemens over 1 year ago in reply to Thomas Klemens

Das deaktivieren des SIP Moduls ist das Problem gelöst
Cancel
Vote Up +1 Vote Down

Cancel