Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 892 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Coud anyone explain the daily reports to me?

T-Roc_01
Hi there,
could anyone be so kind and explain the daily reports to me?

I just looked over the daily reports but they seem kind of weird to me.

For example:

There is a table called TOP10 dropped destination hosts.
Why is No.1  my own internetconnection port?
From which direction do I have to see the destination and source? From behind my astaro or from the internet?

And in the Packetfilterlog there are a bunch of dropped packets that have source my internetconnection port and destination some server on the internet.
How can I determine what client is behind this query?
I guess the ASG itself is not trying to access blogs or torrent sites. ;-)

The Astaro is set up for just SitetoSite VPN. So there is no natting or DNS.
Also there is an any any any rule in the packetfilter.

What I would like to know is what client on the internal network sends requests to sites on the internet.

Thanks.
Bye
T-Roc


This thread was automatically locked due to age.
Parents
  • 0
    NTP is for time sync.  How is your time infrastructure setup?  The normal way of setting this up in a windows domain environment is to have all of youor domain joined systems syncing with a domain controller, then have that DC sync with an external source, but this can be changed.  If you've set the external source as something like ntp.org, they don't use a single server, but instead use clusters of servers for redundancy and load-balancing so there are multiple IP addresses.
     
    As far as the logging goes, you have to understand how packetfilter rules work.  Look at your PF rules and you'll notice that each has a number, which is basically the priority of that rule.  The lower the number, the higher the priority.  When a packet passes through the filter, it is checked against PF rules in priority order (rule 1 first, rule 2 second, etc).  When the packet hits a rule that would apply to it, all further PF rule processing stops.  My guess is that there is a higher priority rule that matches.  The other possibility is that it's matching against one of the hidden built-in rules which aren't logged.
     
    For determining specific connection information, you can either look thrugh the applicable logs or check out the reporting section within WebAdmin.
Reply
  • 0
    NTP is for time sync.  How is your time infrastructure setup?  The normal way of setting this up in a windows domain environment is to have all of youor domain joined systems syncing with a domain controller, then have that DC sync with an external source, but this can be changed.  If you've set the external source as something like ntp.org, they don't use a single server, but instead use clusters of servers for redundancy and load-balancing so there are multiple IP addresses.
     
    As far as the logging goes, you have to understand how packetfilter rules work.  Look at your PF rules and you'll notice that each has a number, which is basically the priority of that rule.  The lower the number, the higher the priority.  When a packet passes through the filter, it is checked against PF rules in priority order (rule 1 first, rule 2 second, etc).  When the packet hits a rule that would apply to it, all further PF rule processing stops.  My guess is that there is a higher priority rule that matches.  The other possibility is that it's matching against one of the hidden built-in rules which aren't logged.
     
    For determining specific connection information, you can either look thrugh the applicable logs or check out the reporting section within WebAdmin.
Children
No Data