Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 891 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Coud anyone explain the daily reports to me?

T-Roc_01
Hi there,
could anyone be so kind and explain the daily reports to me?

I just looked over the daily reports but they seem kind of weird to me.

For example:

There is a table called TOP10 dropped destination hosts.
Why is No.1  my own internetconnection port?
From which direction do I have to see the destination and source? From behind my astaro or from the internet?

And in the Packetfilterlog there are a bunch of dropped packets that have source my internetconnection port and destination some server on the internet.
How can I determine what client is behind this query?
I guess the ASG itself is not trying to access blogs or torrent sites. ;-)

The Astaro is set up for just SitetoSite VPN. So there is no natting or DNS.
Also there is an any any any rule in the packetfilter.

What I would like to know is what client on the internal network sends requests to sites on the internet.

Thanks.
Bye
T-Roc


This thread was automatically locked due to age.
  • 0
    You can find more detailed information by digging into the reporting section in WebAdmin (just dig into the sections in the reporting section and you'll see what I mean) or through querying the applicable logs.
  • 0
    Hi,
    Never use an 'ANY ANY ANY' rule!

    Barry
  • 0 in reply to BarryG
    Hi Barry,
    I know but I was trying to identify the clients that send the requests. I forgot to write that. I have logging enabled in the any any any rule to find out which client is sending the requests.
    No luck yet.

    I did dig into the reporting section and also the applicable logfiles but did not find anything helpful.
    I couldn't even find the IP addresses from the statusmails in the logfiles.

    I think these statusmails are more confusing than helpful.
    Or can anyone disabuse me?

    Bye
    Tobias
  • 0
    Posting your log excerpts should help us figure out what the traffic is.

    Barry
  • 0 in reply to BarryG
    Hi,
    sorry for posting so late.

    I just found out that the service of all of the different connections is NTP. And there is a NTP Server running under these different IPs. I am just wondering why there are so many and why they are different all the time.

    I can not find the IPs in the Packetfilter logs. Even though I have the any any any rule and logging enabled. How is this possible? Shouldn't it log every single Packet with this rule?

    Is there a howto for the logging on astaro? I really can't figure out how I am able to see which client connects to which server or vice versa.

    Only stuff I find is nice tables and charts. Looks nice but i can't do anything with it.


    Thanks
    Tobias
  • 0
    NTP is for time sync.  How is your time infrastructure setup?  The normal way of setting this up in a windows domain environment is to have all of youor domain joined systems syncing with a domain controller, then have that DC sync with an external source, but this can be changed.  If you've set the external source as something like ntp.org, they don't use a single server, but instead use clusters of servers for redundancy and load-balancing so there are multiple IP addresses.
     
    As far as the logging goes, you have to understand how packetfilter rules work.  Look at your PF rules and you'll notice that each has a number, which is basically the priority of that rule.  The lower the number, the higher the priority.  When a packet passes through the filter, it is checked against PF rules in priority order (rule 1 first, rule 2 second, etc).  When the packet hits a rule that would apply to it, all further PF rule processing stops.  My guess is that there is a higher priority rule that matches.  The other possibility is that it's matching against one of the hidden built-in rules which aren't logged.
     
    For determining specific connection information, you can either look thrugh the applicable logs or check out the reporting section within WebAdmin.