Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 1404 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Trouble identifying traffic...

SalishSwede
Hi,

I'm getting a fair amount of traffic  that I can't identify.

Here's my accounting statistics:
`-All queried networks  . . . . . . . . . . . . 100% (949 MB)
::     `-10.1.0.0/255.255.0.0 . . . . . . . . . . . 100% (949 MB)
::        |-incoming  . . . . . . . . . . . . . . .  89% (851 MB)
::        |  |-tcp  . . . . . . . . . . . . . . . .  81% (777 MB)
::        |  |  |-http  . . . . . . . . . . . . . .  72% (689 MB)
::        |  |  |-wimsic  . . . . . . . . . . . . .   3% (37 MB)
::        |  |  |-https . . . . . . . . . . . . . .   2% (22 MB)
::        |  |  `-nntp  . . . . . . . . . . . . . .   0% (4891 kB)
::        |  |-udp  . . . . . . . . . . . . . . . .   7% (74 MB)
::        |  |  |-domain  . . . . . . . . . . . . .   7% (74 MB)
::        |  |  `-ntp . . . . . . . . . . . . . . .   0% (684 Bytes)
::        |  `-icmp . . . . . . . . . . . . . . . .   0% (222 Bytes)
::        `-outgoing  . . . . . . . . . . . . . . .  10% (97 MB)
::           |-tcp  . . . . . . . . . . . . . . . .   5% (56 MB)
::           |  |-http  . . . . . . . . . . . . . .   5% (48 MB)
::           |  |-https . . . . . . . . . . . . . .   0% (7310 kB)
::           |  `-wimsic  . . . . . . . . . . . . .   0% (520 kB)
::           |-udp  . . . . . . . . . . . . . . . .   4% (40 MB)
::           |  |-domain  . . . . . . . . . . . . .   4% (40 MB)
::           |  |-bootps  . . . . . . . . . . . . .   0% (725 kB)
::           |  `-netbios-ns  . . . . . . . . . . .   0% (702 Bytes)
::           `-icmp . . . . . . . . . . . . . . . .   0% (2940 Bytes)

What is this  wimsic?

Here are my packet filter rules...  

2   Any  0.0.0.0/0                      DNS 10.1.0.2         Ulli
3   Ulli 10.1.0.2                          DNS0.0.0.0/0         Any
4   Ben 10.1.0.1                        rsync0.0.0.0/0        Any
5   Internal 10.1.0.0/16            HTTPS0.0.0.0/0 Any
6   Any 0.0.0.0/0                      Dictionary0.0.0.0/0Any
7   Any 0.0.0.0/0                      NTP-Async0.0.0.0/0Any
8   Any 0.0.0.0/0                      NTP0.0.0.0/0Any
9   Internal 10.1.0.0/16           Games0.0.0.0/0Any
10 Internal 10.1.0.0/16           NNTP0.0.0.0/0Any
11 Internal 10.1.0.0/16           SSH0.0.0.0/0Any
12 Internal 10.1.0.0/16           WHOIS0.0.0.0/0Any
13 Internal 10.1.0.0/16           FTP0.0.0.0/0Any
14 Internal 10.1.0.0/16           FTP-CONTROL0.0.0.0/0 Any
15 Internal 10.1.0.0/16           traceroute0.0.0.0/0Any
16 Doug                                   streming music 0.0.0.0/0Any 
17 Any 0.0.0.0/0                    messengers 0.0.0.0/0 Any

Here are the definitions of the grouped protocols:


MESSENGERS
msgAIM1  TCP  1024:65535 443
msgAIM2  TCP  1024:65535 563
msgICQ1  TCP  1024:65535 5190
msgICQ2  TCP  1129            5190
msgMSN   TCP  1024:65535  6891:6900
msgMSN2 TCP  1024:65535  1863
msgMSN3 TCP  1024:65535  7001
msgYahooTCP  1024:65535  5050

MUSIC
musicRealAudio        TCP       1024:65535           554
musicRealAudio1      UDP       1024:65535          6170:7170
musicRealAudioInit   TCP       1024:65535          7070
musicShoutCast        TCP       8000:8005            1024:65535

GAMES
game_chess             TCP/UDP   1:65535             5000
game_iBridge           TCP            1024:65535      9999


Can anyone help with this.
I'm also surprised that 702 bytes of netbios and 725 bytes of bootp traffic made it outbound.  Why is this?

Thanks!


This thread was automatically locked due to age.
  • 0
    Netbios: That might be some broadcasts pointing to the firewall.

    There are two logfile available
    1) Accounting data (these data is also used for generating the accountings)
    2) Packet filter (all droped data and accepted data (if log is enabled))

    That might give you some informations regarding the unknown traffic.

    Also a tcpdump is installed on ASL V5 by default.

    Xeno
  • 0 in reply to Xeno
    I'll try your suggestions, but I'm still wondering why Astaro  as configured [above] would allow ANY of this traffic OUTBOUND from my network to the internet.

    This is a serious breach of my policies, and my rules sets don't account for it.

    Has anyone else seen this type of traffic?
    Does anyone know of "undocumented" allowed traffic?