Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1543 views
  • Users 0 members are here
Options
Suggested

[7.180] IM/P2P has higher priority as the packetfilter [NOT A BUG]

-INSOMNIAC-
Hey there.

My testbox wants to drive me nuts.

I got a rule here for some web chatting application where i allowed some ports (Service group) from internal outgoing to any.
Yeah i know thats not urgent [;)] but could get ugly if i'm right...

Well anyway my box drops one port of this group with the nice comment "autogenerated rule"

I already
- deactivated any NAT rules with auto filter generation
- replaced my own definition for my net with the autogenerated definition of my internal interface
- changed from group to 4 single service rules
- just for paranoia deactivated the whole IPS
- set the rule on top of my filters
- double checked all definitions related to this
- retryed with same config on 7.104 (still working as it should)

My suggestion is first of all that the autorules have a higher priority than the selfmade ones.
well anyway i dont even know where that rule comes from but its there.

perhaps someone has an idea what to look for.


Auto-generated rule TCP 192.168.XX.YYY:1907 → 1.2.3.4:5222 [ACKPSH ] len=184 ttl=127 tos=0x00



While searching for this i notice that QoS jumped from Net. Sec. to Network.
and why are there 24 default "traffic Selectors" that i can't delete nor edit?
I would say i should be able, to since i wont ever need that ones.

somebody wants to retry or has some common problems?
send an PN if you want i'll tell you site and packet filter rule then.

Cheers and an nice weekend
Daniel

---edit
got it... see reply 4 please
  • 0
    And what about also displaying auto-generated rules into packet filter interface... in read-only and not deletable...

    Just allowing to set priorities on any rules (auto, and manually)

    that should help in some cases...

    thx
  • 0 in reply to BuBU
    @bubu 
    good idea. wold be a pretty nice checkbox under "Packetfilter" -> "advaced"

    aw... talking bout feature requests...

    what about logging auto packet filters?
    Perhaps a second checkbox for this within the creation of NAT rules.
  • 0 in reply to -INSOMNIAC-
    Hi, the option to show the auto generated PF-rules is already asked as feature  when testing V7.1 beta. I don't it will be addesd in V7.2.......
  • 0 in reply to PabloDiablo
    ok there, back 2 orrigin topic:

    Looks like i got some tunnel at the end of the light. [:D]

    It seems like my dropped port (5222) is one of the ports used for the Jabber IM.
    since all those virus spreaders (IM+P2Ps) are blocked at the moment except for Skype my ports get blocked.

    An this is just like i assumed at the start the IM filters have a higher prio than the manual packetfilter rules.

    I hope this is not a feature with 7.2 since there are loads of high ports dropped with those settings under IM/P2P and this could get pretty ugly since 7.2 has 20 IMs predifined, and therefor drops loads of ports which possible would be needet by other apps allowed in the PF.
     (is it the same with voip?)

    Perhaps somebody can take a test for some other things.
    ill take a test for blocking skype via IM/P2P and allow it via manual-PF or something in that direction tomorrow.
    [EDIT]
    lol. ok the skype test results in another "funny" behavior. -> https://community.sophos.com/products/unified-threat-management/astaroorg/f/92/t/66564

    anyway activated "log" for Google/Jabber "cures" this problem.
    so the website's chat works. 
    and - how funny - that chatting session is now reported as jabber session with only one of the jabber ports used [:(]

    like said before, this is not urgent, but under corporate conditions - dropping some hundrets of high ports due to forbidden IM/P2Ps might not the best idea.
    [/EDIT]

    Cheers
  • 0 in reply to -INSOMNIAC-
    Hi there guys, 

    as noted in the release notes, the IM/P2P detection engine is layer 7 pattern inspection that tries to detect the protocol precisly based on content and not only on ports or high ports. 

    the basic workflow through the device ist this

    ITF-IN -> FLOOD -> FIREWALL -> IPS -> IM/P2P -> ITF-OUT

    as you can see, even if the firewall and ips passes the traffic along, the IM/P2P engine can still detect and block the packet. 
    This is based on the assumption that the IM/P2P is the most precise engine and shall work on top of the allowed traffic. 

    if you create fw rules to allow IM and configure IM/P2P to block it, it will be blocked, this is by design. 

    We are currently still in the process of fine-tuning and optimizing the detection engine, there is still the possibility that the engine does over blocking (falsly detect regular connections as IM/P2P) or underblocking (not detect a IM/P2P connection). 

    If you feel you found such an issue, please report in a seperate thread. 

    thanks
    Gert
  • 0 in reply to Gert Hansen

    if you create fw rules to allow IM and configure IM/P2P to block it, it will be blocked, this is by design. 

    Hi Gert and thx for the explanation.

    Well anyway basicly i don't want to allow an instant messenger.
    the site where i use to play once in a while, offers a little an very basic flash chat nearby the actualy played game, which incidentally uses port 5222.
    This is usualy the port of Jabber IM, i know that now. [;)]
    but also there are some other ports used at the same time for transmitting statistics and so on.
    ...


    We are currently still in the process of fine-tuning and optimizing the detection engine, there is still the possibility that the engine does over blocking (falsly detect regular connections as IM/P2P) or underblocking (not detect a IM/P2P connection). 

    ...
    so i would say there is something definitly bein false positive [:D]

    but ok i'll put that aside, and review it sometime after the tuning is done.

    Thx 4 now
    Daniel
Unfiltered HTML