Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2048 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Massive PF Log Spam on External Interface

Corey3443
OK i've  only started noticing this last few days, so i was wondering if someone can explain why this is happening, rather more than how to fix this.

Im getting massive destination drops on my External (Address) Object (internet) from ports 51413 UDP/TCP. (about 60,000-70,000 a day)

Now these are the ports i use for for port forwarding a transmission client behind the astaro. The rule is setup correctly, and it seems to be forwarded correctly aswell (can reach the box from the web using that port). But where is all this extra traffic coming from? and why is it being blocked?

Heres the Nat Rule:

Traffic Source: Any
Traffic Server: TransPF(51413 TCP/UDP)
Traffic Dest: External (address)

Nat mode: DNAT
dest: filesrv1 object
dest service: TransPF
Log: off
firewall: off

And the Firewall rule:
Source: Any
Service: TransPF
Dest: Filesrv1 obj
action: allow
time: always
log: off

i've got a webui portfowarded using this same scheme, on the same machine, yet none of this mass packets dropped. ideas?
EDIT: Attach Screenshot of lastnights report. (top10 drop host/service)


This thread was automatically locked due to age.
  • 0
    I should note, i did download, but maybe for about 10mins? (1gb file) but i seem to get the same amount of drops pretty much even when i do/dont download.
  • 0
    Please show a sample line from the full(not the Live) log.  Are there multiple sources?

    In the DNAT, it's a good habit to leave Dest. Srvc. blank when not changing it. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Please show a sample line from the full(not the Live) log..


    Hope this is what you wanted.

    2011:12:13-00:00:19 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="188.4.222.76" dstip="X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="115" srcport="14884" dstport="51413" 

    2011:12:13-00:00:20 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="115.240.110.137" dstip=X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="114" srcport="43012" dstport="51413" 

    2011:12:13-00:00:20 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="70.31.63.207" dstip="X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="111" srcport="37238" dstport="51413" 

    2011:12:13-00:00:24 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="46.39.1.131" dstip="X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="109" srcport="11139" dstport="51413" 

    2011:12:13-00:00:27 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="201.223.140.60" dstip= "X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="111" srcport="27527" dstport="51413" 

    2011:12:13-00:00:27 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="211.30.29.125" dstip=X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="116" srcport="26974" dstport="51413" 

    2011:12:13-00:00:28 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="24.139.192.182" dstip="X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="48" srcport="52129" dstport="51413" 

    2011:12:13-00:00:28 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="111.68.103.193" dstip="X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="114" srcport="61820" dstport="51413" 

    2011:12:13-00:00:30 AstaroFW ulogd[5559]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="0:1b:2f:22:25:f4" dstmac="20:cf:30:a:b:1" srcip="189.15.203.34" dstip="X.Y.71.210" proto="17" length="131" tos="0x00" prec="0x00" ttl="112" srcport="40965" dstport="51413" 


    Does seem to be from multiple sources. that was just the first 9 lines i saw.
    is fwrule="60001" the id for a pf rule?
  • 0
    60001 is  the 'default drop' rule for uninvited traffic sent to your "External (Address).  It looks like the world thinks you're providing a torrent download service. [;)]

    If that's not your intent, there's probably a configuration error on your torrent client.  If it is your intent, then my guess is that the Host definition is bound to the Internal interface instead of being configured as 'Interface: >'. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Host definition is bound to the Internal interface instead of being configured as 'Interface: >'. 


    OK changed the definition to Any, to see if that helps

    providing a torrent download service. [;)]

    Now correct me if im wrong, astaro lets traffic in, if traffic has been sent out somewhere. 
    So could it be possible, that after a torrent has downloaded, and stopped, 
    and after the connection times out from traffic not being Sent to Host on the web, astaro is dropping the packets thinking its a intrusion when the other hosts are still requesting traffic?

    either that or is my firewall rule wrong? it works, but for some reason it doesnt seem logical. Like i would have though the should have been Any(Src)->Service->ExtInferace(Dsc).
  • 0
    The firewall rule is fine - you want to allow traffic to your internal server.  In fact, in this case, the only reason to have a separate Firewall rule is to be able to log passes - simpler would be to zap the rule and choose automatic in the NAT. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    The firewall rule is fine - you want to allow traffic to your internal server.  In fact, in this case, the only reason to have a separate Firewall rule is to be able to log passes - simpler would be to zap the rule and choose automatic in the NAT. 


    unfortunately, i prefer to see what firewall rules are in place, so until astaro can have some sort of option to view automatic PF rules, i'll just do it like this.
    UPDATE: Changing the Host to Any didnt seem to help. Ill try automatic firewall rule now instead.
  • 0
    Hi, there must have been a mistake in your PF rule, or you had another DROP rule above it.

    Barry