Seeing Exteral IP's in top 10 Clients Report

Do you have any DNATs or packet filter rules that look like 'Any -> [some service] -> [internal address(es)]'?  Sometimes, people who are used to simple firewalls like those in home routers mistakenly assume they need to open ports in both directions.  The Astaro is a stateful firewall, so, with a few exceptions, the only ports openned should be from internal to external.

A specific example for web browsing is that port 80 always should remain closed from outside in.  All that is needed for web browsing is a packet filter rule 'Internal (Address) -> HTTP -> Any : Allow'.  If you enable the HTTP Proxy, then NO such packet filter rule should exist.

In my own company's Top 10 we normally see our IPs, active VPN connections and high-volume email relationships.

Let us know what you discover.

Cheers - Bob

Do you have any DNATs or packet filter rules that look like 'Any -> [some service] -> [internal address(es)]'?  Sometimes, people who are used to simple firewalls like those in home routers mistakenly assume they need to open ports in both directions.  The Astaro is a stateful firewall, so, with a few exceptions, the only ports openned should be from internal to external.

A specific example for web browsing is that port 80 always should remain closed from outside in.  All that is needed for web browsing is a packet filter rule 'Internal (Address) -> HTTP -> Any : Allow'.  If you enable the HTTP Proxy, then NO such packet filter rule should exist.

In my own company's Top 10 we normally see our IPs, active VPN connections and high-volume email relationships.

Let us know what you discover.

Cheers - Bob

Bob,

I have a few of those rules but they are for specific protocals like MSRDP and my Xbox and my media server so I can get to it remotley.

Thanks
Ralph

I agree that you should be concerned.  Have you checked your logs to see what the traffic is?

Most instructions for game systems for opening firewall ports assume that you need to open the ports in both directions because most consumers have a "state-less" firewall like that in a Linksys router.  Others here with those systems have posted instructions, so you might benefit from reading through some of the relevant threads this year.  If you do have a PF rule for your Xbox, it should be 'Any -> [XBox ports] -> [XBox] : Allow', not '-> Internal (Network)'.  That won't cut down on the Chinese accessing the XBox, but it will, at least, prevent access over those ports to the rest of your network.

Cheers - Bob

Bob,

 I have not checked any logs on this. What is the best way to find out where this traffic is coming from to going to?

Thanks
Ralph

If you have an internal mail server, you might be getting a gazillion spams, so you could look in the SMTP log, but I'm guessing that's not the case.

Turn on logging of all packet filter rules that allow traffic from outside in and open the Live Log.  I bet you'll see pretty quickly that one of your rules is allowing use of your media server.  I don't know enough about the XBox to know if there are any exploits of it, but that also would fall under suspicion.

Cheers - Bob

Bob,

Thanks for the help. Is there anyway to filter the ougoing log traffic and look for a specifuc IP address?

Ralph

Ralph, there's a kind of "trick" to working with stateful firewalls; often, the key to controlling something is regulating requests instead of responses, and that's what you need here.  In every Live Log, if you enter abc into the 'Filter' at the top, only lines with that character string will appear in the subsequent entries at the bottom.