Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 21 replies
  • Subscribers 3 subscribers
  • Views 6301 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Is this normal for 300 users,

ibeheer
This is in a report for one day, I wonder is this amount normal or quiet a lot?
If total connections is above 1200 it's impossible to open webmail......
everyting else works ssl vpn,normail ipsec vpn, surfing.....
Very strange..... a reboot doesn't help. Changing mtu to 1400 everything works again????? And problem is gone again. The thing is i don't know how are what is causing the problem. Normal traffice for a week is about 80gb. Didn't have a lot of problems except strange problems and to go away also. The updates drive me crazy.


This thread was automatically locked due to age.
Parents
  • 0
    I think 1200 connections is over the limit on the free license.

    Your users are probably running P2P apps.

    Barry
  • 0 in reply to BarryG
    Hi,
    what level of ASG licence are you running?

    Ian M
  • 0 in reply to William Warren
    If your 137/138 count is so high try not logging those dropped packets from that PF rule that will reduce the load considerably.

    Ian M
  • 0 in reply to RFCat_vk_01
    137/138 is the internal network and needs to stay internal. 

    Rule 1 is: 
    Some servers may go everyway.
    Rule 2:
    drop internal 137
    Rule 3:
    drop internal 138
    Rule 4:
    Blacklist (consist of ipnumbers who may never enter)
    Rule 5:
    mail server to smtp mailserver group.
    one mail server conects to 3 other mailservers outside
    Rule 6:
    Internal to a private site
    Rule 7:
    SSL VPN to terminal server
    Rule 8:
    SSL VPN to internal DNS server
    Rule 9:
    SSL VPN based on user (we self) may go everywhere internal
    Rule 10:
    Internal dns server to outside dns servergroup consist of four external dns servers.

    Also we see 255.255.255.255 Which can't we can drop except the dault rule (default drop)does. We have 35 rules so that means the firewall hold the against 35 rules...
    I want do drop that traffic sooner. By not logging does not mean the packetfilter isn't processing the traffic i hope. And we have beamers on the network that need to stay inside but is generating 3.255:5001 Traffic.
    Also i can't stop that. If more beamers are on the firewall is still processing it.
    Even if the beamers don't have the firewall as gateway??????

    We have 2 internet lines
    1 internal line
    1 administrative interface where in the future we do all the changes.

    ps. disk space for log no problem plenty off it
         cpu see clipboard10
  • 0 in reply to ibeheer
    137/138 is the internal network and needs to stay internal. 

    Rule 1 is: 
    Some servers may go everyway.
    Rule 2:
    drop internal 137
    Rule 3:
    drop internal 138
    Rule 4:
    Blacklist (consist of ipnumbers who may never enter)
    Rule 5:
    mail server to smtp mailserver group.
    one mail server conects to 3 other mailservers outside
    Rule 6:
    Internal to a private site
    Rule 7:
    SSL VPN to terminal server
    Rule 8:
    SSL VPN to internal DNS server
    Rule 9:
    SSL VPN based on user (we self) may go everywhere internal
    Rule 10:
    Internal dns server to outside dns servergroup consist of four external dns servers.

    Also we see 255.255.255.255 Which can't we can drop except the dault rule (default drop)does. We have 35 rules so that means the firewall hold the against 35 rules...
    I want do drop that traffic sooner. By not logging does not mean the packetfilter isn't processing the traffic i hope. And we have beamers on the network that need to stay inside but is generating 3.255:5001 Traffic.
    Also i can't stop that. If more beamers are on the firewall is still processing it.
    Even if the beamers don't have the firewall as gateway??????

    We have 2 internet lines
    1 internal line
    1 administrative interface where in the future we do all the changes.

    ps. disk space for log no problem plenty off it
         cpu see clipboard10

    pffilter is the huge load there i bet.  turn off the logging of droped rules in the packt filter.  the 137/138 are going to generate a colossal amount of drops and a equal amount of log entries.  In that 137/138(need to drop 445 as well) activate the option to not log the drops.  Wait a day or two for hte processing to catch up and see if that helps things.
  • 0 in reply to William Warren
    Thanks for your response william. I have done what you have suggested...
    I see know also other drops.... Lower count value. But traffic is still high about 12GB a day. Also contact framework filter restarts some times.... is there a way for the astaro to drop by ip adress...... because the printer traffic etc can be left alone...
  • 0 in reply to ibeheer
    Thanks for your response william. I have done what you have suggested...
    I see know also other drops.... Lower count value. But traffic is still high about 12GB a day. Also contact framework filter restarts some times.... is there a way for the astaro to drop by ip adress...... because the printer traffic etc can be left alone...


    Yes just define the ip address in the definitions section then you can drop the traffic w/o logging in the packet filter..[:)]
  • 0 in reply to William Warren
    He william,

    I have been testing and added some rulez.....
    now packets blocked by firewall is reduced from 60000 to 30000
    example internal network adress ----> drop ----> 137 ---->255.255.255.255
    now i wonder what is the difference between drop and reject.
    ips is now somewhat more tuned. Attackes stay at zero.
    straneg the i did notice that sometimes dns packet (53) get droped and other or gray. Gray is normal behavor but why drop packets only differance is that gray packet have ttl=127. I have read somewhere that's normal. 
    Cpu usage is lower then before. traffice stay's the same. About 10GB daily.
  • 0 in reply to ibeheer
    Hi,
    reject sends a message to the source where as drop just ignores the packet. Then the source has no idea whether the packet reached an end point.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,
    reject sends a message to the source where as drop just ignores the packet. Then the source has no idea whether the packet reached an end point.

    Ian M


    So reject is better, because the source knows the packet is dropped and will stop sending... As by drop it will try it again?
  • 0 in reply to ibeheer
    Hi,
    no drop is better, the site looks like it is dead. Reject provides a positive response to a hacker.

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,
    no drop is better, the site looks like it is dead. Reject provides a positive response to a hacker.

    Ian M


    it's only for internal..... to reduce traffic. With drop if have the idea broadcast traffic etc stayes and the firewall still proces the traffic. with reject the firewall gets less traffic.....
Reply
  • 0 in reply to RFCat_vk_01
    Hi,
    no drop is better, the site looks like it is dead. Reject provides a positive response to a hacker.

    Ian M


    it's only for internal..... to reduce traffic. With drop if have the idea broadcast traffic etc stayes and the firewall still proces the traffic. with reject the firewall gets less traffic.....
Children
No Data