Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 2270 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Filter Livelog unknown entries

Marius
I got entries in my filter livelog like this:



192.168.100.25 = Client Intern
192.168.100.100 = ASL Intern
a.b.175.74 = ASL Extern
  
My rules are:
  

  
Where { Internet } is:

AUS, DNS, FTP, FTP-Control, HBCI, HTTP, HTTPS, IDENT, {netbios}, NEWS, {ping}, POP3, SMTP, SQUID, SSH, TCP_UDP_ALL, Telnet, {traceroute}
  
ASL is HTTP-Proxy.

What do I miss? Which rule do I have to add?

Thanks for your help,
Marius

[ 09 November 2001: Message edited by: Marius Schäfer ]

										


				This thread was automatically locked due to age.
				

					


				
				
		

			
						
									
						
						
						
			
			
			
			
		


			





	

		
	











	

	

					



			








	
	
	
	



Parents
	
    
	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
					
    
	
    

		
		
    
					
    Am I the only one having this problem?

    12:53:30 192.168.100.100 8080  ->  192.168.100.25 1968 

    .100 is my ASL
    .25 is my Client using the HTTP Proxy. Why is there a problem with that? I thought I do not have to define roules if I am inside the same network.

    Additional, I have an entry with

    ANY | ANY | .25
    .25 | ANY | ANY

    Why and how to I get these "errors"?

    Regards,
    Marius
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Marius
					
									
    
	
    

		
		
    
					
    I've seen similar entries in the LiveLog of our Astaro system.  Mostly ACK FIN packets from port 80 destined to the Astaro external address, but a few ACK and ACK RST packets as well.

    I can only assume they are stray HTTP-Proxy packets from a completed session.  There is no obvious problem as everything works as expected.

    Tim.
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Tim Rosenquist
					
									
    
	
    

		
		
    
					
    Hi all,

    did you change someyhing (e.g. rules) while you watch the livelog?
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Markus Hennig
					
									
    
	
    

		
		
    
					
    No, no rules have changed.  Normal operating day for the system.

    Time Source    Destination Protocol TCP-Flags/
    ICMP-Type/
    HWADDRs 
    IP-Address Port   IP-Address Port 
    14:17:36 63.211.17.228 53  ->  a.b.148.210 37852 UDP  
    14:33:30 137.54.237.77 1214  ->  a.b.148.210 1349 TCP ACK  
    14:37:39 137.54.237.77 1214  ->  a.b.148.210 1349 TCP ACK  
    14:39:04 137.54.237.77 1214  ->  a.b.148.210 1361 TCP ACK  
    14:39:18 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:39:19 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:39:20 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:39:24 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:39:29 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:39:43 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:40:10 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:41:02 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:42:47 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK  
    14:43:17 137.54.237.77 1214  ->  a.b.148.210 1361 TCP ACK  
    14:44:46 64.78.232.20 80  ->  a.b.148.210 1187 TCP ACK RST  
    16:24:42 24.64.231.137 1363  ->  a.b.148.210 29548 TCP SYN  
    16:24:45 24.64.231.137 1363  ->  a.b.148.210 29548 TCP SYN  
    16:24:51 24.64.231.137 1363  ->  a.b.148.210 29548 TCP SYN  
    16:25:03 24.64.231.137 1363  ->  a.b.148.210 29548 TCP SYN  
    16:26:39 209.132.1.26 53  ->  a.b.148.210 1139 UDP

    [ 29 November 2001: Message edited by: Tim Rosenquist ]
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	

  • 
	
    



	
		
	
	



    
	
    
		
    
							
					
    
		
    
			
													0
							
			
				
									
							
						
				
			
												
						in reply to Tim Rosenquist
					
									
    
	
    

		
		
    
					
    Didnt change anything either.
    
				                    
    
                
    
            
    
        	
    

		
		
		
		
	
    
	
    
		
    
			
		
    
	
    
	
    
		
						
				
				
				
				
				
		
		
    
			
		
    
	
    

    

    • 

	




Reply



Children
	
No Data


		
			








































			






















Unfiltered HTML