Is this normal for 300 users,

I think 1200 connections is over the limit on the free license.

Your users are probably running P2P apps.

Barry

Hi,
what level of ASG licence are you running?

Ian M

It's not free @ all. Level is gold. max con: 512000
Is't for business no p2p no skype no drugs, no *** etc.
Using:

ipsec vpn
ssl vpn
http proxy
nat/dnat
webmail
smtp proxy
dns
active directory

turn on the im and p2p blocking and see if that helps things.  something is overloading he firewall and the common culprit is p2p and im transfers.  Also what are your firewall's specs?  you may not have enough hardware to handle things.

standard everything is block. only skype can't block but needs alert?!?!?!?
hardware is hp ml350 with 4gb ram + raid 5 300GB (sas).

What is the cpu spec?  Also can you give a screenshot of the main system panel when it's acting up?  

also log into the shell as loginuser and run top.  hit the 1 key to show all the cpus and then take a screenshot of that as well.

Thanks for your response william. A top takes longer.... ssh is not enabled.
Screenshot webinterface no problem. Is it much traffic are just normal?

your paketfilter drops 103.358 Packets.
What is the reason for this high value ?


Gregor Kemter

2008:03:28-(none) ulogd[2880]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="2" initf="eth1" dstmac="" srcmac="" srcip="" dstip="" proto="17" length="78" tos="0x00" prec="0x00" ttl="64" srcport="137" dstport="137" 
2008:03:28-13:10:12 (none) ulogd[2880]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="3" initf="eth1" dstmac="" srcmac="" srcip="172.16.0.40" dstip="" proto="17" length="229" tos="0x00" prec="0x00" ttl="128" srcport="138" dstport="138" 

Idea is to drop most traffic so traffic for 137/138 is high so created a rule in top 2/3 to drop the traffic. Hoping the firewall will not process the traffic any further.

137/138 comes from internal lan, but this dont need to go "outside".

could you post your packet filter rules?  I bet there's something there that might be causing this.

could you post your packet filter rules?  I bet there's something there that might be causing this.

If your 137/138 count is so high try not logging those dropped packets from that PF rule that will reduce the load considerably.

Ian M

137/138 is the internal network and needs to stay internal. 

Rule 1 is: 
Some servers may go everyway.
Rule 2:
drop internal 137
Rule 3:
drop internal 138
Rule 4:
Blacklist (consist of ipnumbers who may never enter)
Rule 5:
mail server to smtp mailserver group.
one mail server conects to 3 other mailservers outside
Rule 6:
Internal to a private site
Rule 7:
SSL VPN to terminal server
Rule 8:
SSL VPN to internal DNS server
Rule 9:
SSL VPN based on user (we self) may go everywhere internal
Rule 10:
Internal dns server to outside dns servergroup consist of four external dns servers.

Also we see 255.255.255.255 Which can't we can drop except the dault rule (default drop)does. We have 35 rules so that means the firewall hold the against 35 rules...
I want do drop that traffic sooner. By not logging does not mean the packetfilter isn't processing the traffic i hope. And we have beamers on the network that need to stay inside but is generating 3.255:5001 Traffic.
Also i can't stop that. If more beamers are on the firewall is still processing it.
Even if the beamers don't have the firewall as gateway??????

We have 2 internet lines
1 internal line
1 administrative interface where in the future we do all the changes.

ps. disk space for log no problem plenty off it
     cpu see clipboard10

137/138 is the internal network and needs to stay internal. 

Rule 1 is: 
Some servers may go everyway.
Rule 2:
drop internal 137
Rule 3:
drop internal 138
Rule 4:
Blacklist (consist of ipnumbers who may never enter)
Rule 5:
mail server to smtp mailserver group.
one mail server conects to 3 other mailservers outside
Rule 6:
Internal to a private site
Rule 7:
SSL VPN to terminal server
Rule 8:
SSL VPN to internal DNS server
Rule 9:
SSL VPN based on user (we self) may go everywhere internal
Rule 10:
Internal dns server to outside dns servergroup consist of four external dns servers.

Also we see 255.255.255.255 Which can't we can drop except the dault rule (default drop)does. We have 35 rules so that means the firewall hold the against 35 rules...
I want do drop that traffic sooner. By not logging does not mean the packetfilter isn't processing the traffic i hope. And we have beamers on the network that need to stay inside but is generating 3.255:5001 Traffic.
Also i can't stop that. If more beamers are on the firewall is still processing it.
Even if the beamers don't have the firewall as gateway??????

We have 2 internet lines
1 internal line
1 administrative interface where in the future we do all the changes.

ps. disk space for log no problem plenty off it
     cpu see clipboard10

pffilter is the huge load there i bet.  turn off the logging of droped rules in the packt filter.  the 137/138 are going to generate a colossal amount of drops and a equal amount of log entries.  In that 137/138(need to drop 445 as well) activate the option to not log the drops.  Wait a day or two for hte processing to catch up and see if that helps things.

Thanks for your response william. I have done what you have suggested...
I see know also other drops.... Lower count value. But traffic is still high about 12GB a day. Also contact framework filter restarts some times.... is there a way for the astaro to drop by ip adress...... because the printer traffic etc can be left alone...

Thanks for your response william. I have done what you have suggested...
I see know also other drops.... Lower count value. But traffic is still high about 12GB a day. Also contact framework filter restarts some times.... is there a way for the astaro to drop by ip adress...... because the printer traffic etc can be left alone...

Yes just define the ip address in the definitions section then you can drop the traffic w/o logging in the packet filter..[:)]

He william,

I have been testing and added some rulez.....
now packets blocked by firewall is reduced from 60000 to 30000
example internal network adress ----> drop ----> 137 ---->255.255.255.255
now i wonder what is the difference between drop and reject.
ips is now somewhat more tuned. Attackes stay at zero.
straneg the i did notice that sometimes dns packet (53) get droped and other or gray. Gray is normal behavor but why drop packets only differance is that gray packet have ttl=127. I have read somewhere that's normal. 
Cpu usage is lower then before. traffice stay's the same. About 10GB daily.

Hi,
reject sends a message to the source where as drop just ignores the packet. Then the source has no idea whether the packet reached an end point.

Ian M

Hi,
reject sends a message to the source where as drop just ignores the packet. Then the source has no idea whether the packet reached an end point.

Ian M

So reject is better, because the source knows the packet is dropped and will stop sending... As by drop it will try it again?

Hi,
no drop is better, the site looks like it is dead. Reject provides a positive response to a hacker.

Ian M

Hi,
no drop is better, the site looks like it is dead. Reject provides a positive response to a hacker.

Ian M

it's only for internal..... to reduce traffic. With drop if have the idea broadcast traffic etc stayes and the firewall still proces the traffic. with reject the firewall gets less traffic.....