Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1884 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

High traffic from Google IP's to UTM

NickFNB_01
Running a UTM 425 appliance with 9.004-34 in bridged mode.  Running Web, Wireless, Application, IPS services.

Over the past 2 days I've been fighting with traffic coming in from Google IP's maxing out our Internet connection.

Examples:

iad23s07-in-f17.1e100.net
iad23s07-in-f18.1e100.net

I'll attach an iftop and sample graph showing this.  The UTM's internal IP (FBGUTM) is showing the destination, whereas if I look at all other traffic I can see where it is originating (like a PC on the network). I can't see where the traffic is going after it hits the UTM, as if the UTM is taking the data and doing something with it?

I've restarted the UTM and tried selectively shutting down certain services one at a time to see if has any affect but nothing.  I thought maybe a stuck Up2Date download but I can't verify that.

I'm stuck how to figure out where this is coming from and why... any help is appreciated.


This thread was automatically locked due to age.
  • 0
    Hi, 

    1. is that a bridged interface?

    2. are you using the http proxy (web protection)?

    Barry
  • 0 in reply to BarryG
    Hi, 

    1. is that a bridged interface?

    2. are you using the http proxy (web protection)?

    Barry


    Yes to both.

    I'm just trying to narrow this down and it's odd to me...  I used to run the web filter in local content database mode and noticed a similar issue with a corrupt database causing excessive traffic.  When I reverted back to the standard filtering (cloud) the issue was resolved.  This is not the case here as I'm cloud filtering.

    Thanks.
  • 0
    Hi, the web filter will normally cause all traffic to appear to come from the EXT/WAN interface.

    Since you're bridging, it's possible that it shows on the LAN.

    Run a sniffer or iftop on the LAN and see if you can find which PC the traffic is going to.

    My guess is that it's Youtube videos.

    Note that the proxy logging and reporting should have info too.

    Barry
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?