[8.163][QUESTION][ANSWERED] two color code for AWE

Kai let me try to interpret what utm_kid wants to say:

1)As per flow monitor there are two colours corresponding to AWE. As per pic the system has 3 connections( two of them to port 80 an one to port 53). I guess he wants to know why it's not classified under the same colour since it's AWE traffic(?)

Hi wingman,

Kai let me try to interpret what utm_kid wants to say:

Thank you very much. I really appreciate your help with this. I usually have to read his posts three to five times to find at least a little hint of what he's talking about. This is really getting me frustrated sometimes. It's much easier if someone else can point the finger at his main point.

As per flow monitor there are two colours corresponding to AWE.

Correct. I also understood that much from his post.

As per pic the system has 3 different connections( two of them to port 80 an one to port 53).

Which make up for the two protocols that the AWE uses. Hence the two separate graphs (one per protocol used by AWE) on the flow monitor.

 I guess he wants to know why it's not classified under the same colour since it's AWE traffic(?)

If that's the question: Because they are different protocols (as you can see by the destination port). It's a kind of "Sub-Topic" mechanism (AWE>>DNS, AWE>>HTTP) that is working here.

So, from my point of view, this is obviously not a bug. I'd rather call it a feature.

What about the rest he's writing of:
- what has this to do with HA
- what has this to do with the other threads?
- what has this to do with port 2712?

Cheers,
Kai

what i think is : 

What about the rest he's writing of:
- what has this to do with HA
- what has this to do with the other threads?

nothing to do but I think he is wondering why this is not a bug as you have classified it as a nonbug

Also,da_merlin (post 2) said his HA setup should be fine so he is also wondering "how u come to know about my wrong setup of HA"

There was also a bug that he found and it was fixed but you didn't give him a point or smthg (i guess https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70675 relates to his HA setup which da_merlin said it should be working fine on another post)

- what has this to do with port 2712?

Cheers,
Kai

I think he found that AWE is used in wireless setup and uses port 2712.If therefore that's the case then why traffic to port 80,53 is classified as AWE (he also doesn't have wireless enabled so why is he getting AWE traffic)

what i think is : 

What about the rest he's writing of:
- what has this to do with HA
- what has this to do with the other threads?

nothing to do but I think he is wondering why this is not a bug as you have classified it as a nonbug

Also,da_merlin (post 2) said his HA setup should be fine so he is also wondering "how u come to know about my wrong setup of HA"

There was also a bug that he found and it was fixed but you didn't give him a point or smthg (i guess https://community.sophos.com/products/unified-threat-management/astaroorg/f/110/t/70675 relates to his HA setup which da_merlin said it should be working fine on another post)

- what has this to do with port 2712?

Cheers,
Kai

I think he found that AWE is used in wireless setup and uses port 2712.If therefore that's the case then why traffic to port 80,53 is classified as AWE (he also doesn't have wireless enabled so why is he getting AWE traffic)

I think he found that AWE is used in wireless setup and uses port 2712. If therefore that's the case then why traffic to port 80,53 is classified as AWE (he also doesn't have wireless enabled so why is he getting AWE traffic)

This is very interesting... because no other daemon generates two graphs for different protocols. For example using http proxy for surfing ftp sites while using the ftp proxy with a ftp client will only generate a single ftp graph. Other daemons like smtp utilize dns and smtp at the same time but they only appear once in the graphs as either smtp or dns[;)]

Also, in the screenshots that were posted, there is a completely separate http stream.

Oh boy wingman and utm_kid collaboration, total confusion in Bill's head[:D]

Regards
Bill.

... If therefore that's the case then why traffic to port 80,53 is classified as AWE (he also doesn't have wireless enabled so why is he getting AWE traffic)

This is very interesting... because no other daemon generates two graphs for different protocols. For example using http proxy for surfing ftp sites while using the ftp proxy with a ftp client will only generate a single ftp graph. Other daemons like smtp utilize dns and smtp at the same time but they only appear once in the graphs as either smtp or dns[;)]

Also, in the screenshots that were posted, there is a completely separate http stream.

Oh boy.... wingman and utm_kid collaboration, total confusion in Bill's head[:D]

Regards
Bill.

This is very interesting... because no other daemon generates two graphs for different protocols.

eh... you are looking at traffic flow. This has nothing to do with "daemons". It's not "the daemons" that draw the graphs, it's data from the packetfilter being analyzed. Let's try to avoid thinking of "daemons" here.

Oh boy.... total confusion in Bill's head[:D]

I know how you feel. And i've already deleted a few other misleading post from this thread.

If you want to play around with the flow monitor and test it, please keep a few things in mind:

• The graph gets updated every five seconds, so there is a minimum length of time you need push data through a pipe for it to become visible.
  
• The data needs to go through the ASG to become visible. This is not necessarily the case for cached traffic (DNS, HTTP).
  
• The data is grouped and aggregated in a way that we think is well suited for an admin who wants to find out "what's going on". It isn't meant as a replacement for logfiles or reports.
  

Cheers,
Kai