Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2050 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Massive PF Log Spam on External Interface

Corey3443
OK i've  only started noticing this last few days, so i was wondering if someone can explain why this is happening, rather more than how to fix this.

Im getting massive destination drops on my External (Address) Object (internet) from ports 51413 UDP/TCP. (about 60,000-70,000 a day)

Now these are the ports i use for for port forwarding a transmission client behind the astaro. The rule is setup correctly, and it seems to be forwarded correctly aswell (can reach the box from the web using that port). But where is all this extra traffic coming from? and why is it being blocked?

Heres the Nat Rule:

Traffic Source: Any
Traffic Server: TransPF(51413 TCP/UDP)
Traffic Dest: External (address)

Nat mode: DNAT
dest: filesrv1 object
dest service: TransPF
Log: off
firewall: off

And the Firewall rule:
Source: Any
Service: TransPF
Dest: Filesrv1 obj
action: allow
time: always
log: off

i've got a webui portfowarded using this same scheme, on the same machine, yet none of this mass packets dropped. ideas?
EDIT: Attach Screenshot of lastnights report. (top10 drop host/service)


This thread was automatically locked due to age.
Parents
  • 0
    60001 is  the 'default drop' rule for uninvited traffic sent to your "External (Address).  It looks like the world thinks you're providing a torrent download service. [;)]

    If that's not your intent, there's probably a configuration error on your torrent client.  If it is your intent, then my guess is that the Host definition is bound to the Internal interface instead of being configured as 'Interface: >'. 

    Cheers - Bob

    Sorry for any short responses!  Posted from my iPhone.
  • 0 in reply to BAlfson
    Host definition is bound to the Internal interface instead of being configured as 'Interface: >'. 


    OK changed the definition to Any, to see if that helps

    providing a torrent download service. [;)]

    Now correct me if im wrong, astaro lets traffic in, if traffic has been sent out somewhere. 
    So could it be possible, that after a torrent has downloaded, and stopped, 
    and after the connection times out from traffic not being Sent to Host on the web, astaro is dropping the packets thinking its a intrusion when the other hosts are still requesting traffic?

    either that or is my firewall rule wrong? it works, but for some reason it doesnt seem logical. Like i would have though the should have been Any(Src)->Service->ExtInferace(Dsc).
Reply
  • 0 in reply to BAlfson
    Host definition is bound to the Internal interface instead of being configured as 'Interface: >'. 


    OK changed the definition to Any, to see if that helps

    providing a torrent download service. [;)]

    Now correct me if im wrong, astaro lets traffic in, if traffic has been sent out somewhere. 
    So could it be possible, that after a torrent has downloaded, and stopped, 
    and after the connection times out from traffic not being Sent to Host on the web, astaro is dropping the packets thinking its a intrusion when the other hosts are still requesting traffic?

    either that or is my firewall rule wrong? it works, but for some reason it doesnt seem logical. Like i would have though the should have been Any(Src)->Service->ExtInferace(Dsc).
Children
No Data