Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 3 subscribers
  • Views 12552 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

uTorrent still generating portscan messages

ArunGupta_01
Hello ASG Gurus,
I need some help on this issue again. I am runng ASG 7.502. I have a Windows Home Server on which I have installed uTorrent client. Here is my ASG setup to allow uTorrent to connect on port 6890. The uTorrent client has a port setting which I have fixed to 6890.

I have arrived at this setup after lot of research on various websites about how to configure uTorrent but something is still not right and my head is spinning looking at the setup. 

When uTorrent is running, it frequently causes portscan messages to be sent out by ASG. I am at a loss to explain why portscan messages are being generated since the port is fixed. Please guide me in the right direction.

Network (host):
homeserver: 192.168.200.10
Bound to Internal

Services:
BT_In: TCP/UDP 1024:65535->6890
BT_Services: TCP/UDP 1:65535->6890

DNAT:
Traffic Selector: Any->/BT_In/->External (WAN) (Address)
Destination Translation: homeserver ->/BT_Services/
No automatic filter rule
No Initial packet logging

Packet Filter:
Any ->/BT_Services/-> homeserver
homeserver ->/Any/-> Any


Thanks...
Arun Gupta


This thread was automatically locked due to age.
  • 0
    Hi Arun,
    I suspect that the utorrent is trying to find additional ports to use.

    Have a look at the live security display or the log and review what is happening.

    Ian M
  • 0
    Thanks for reply. I looked at the live log and several dropped packets caught my attention:

    80.216.82.60:50 → :6890

    I am confused as to why incoming packets to port 6890 are being dropped? I have NAT and packet filter rules to allow these packets to port 6890. Otherwise I cannot see many dropped packets.

    Thanks...
    Arun Gupta
  • 0 in reply to ArunGupta_01
    Hi Arun,
    I suspect that the issue is going to be the 1024:65535 for incoming packets.

    You can use that for outgoing, but you have no control over what the far end generates for incoming to you.

    Ian M
  • 0
    If that doesn't solve your problem, please post the complete line from the packet filter log (not the live log) showing that such a packet was dropped.  Also, please show a picture of the PF rule that should allow the packet.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Just a simple question but have you removed the Utorrent machine from the IDS ? There is the ability to stop it generating alarms and blocking the trafic.

    It may well be the IDS is blocking the client, If the client tries a series of ports before if finds the open one it may be blocking it.
  • 0
    Here is my final configuration which works and does not generate port scan messages:

    Network:
    Host: homeserver 

    Service:
    BT_In: TCP/UDP Dport 6890 SrcPort 1:65535

    NAT:
    Traffic selector: Any  BT_In  External WAN address
    Dest Translation: homeserver
    No automatic packet filter rule
    No logging

    Packet Filter rules:
    Any  BT_In  homeserver
    homeserver Any Any

    Intrusion Prevention:
    Exceptions: Skip Anti-portscan Source Network homeserver

    I have tested this configuration with uTorrent client 2.0 build 17668 and everything works fine. Thanks to stuartbe for pointing out the IDS exception.

    The willingness to help newcomers is just exceptional in this forum and I am extremely thankful for this. It inspires me a lot to learn about the ASG product.
  • 0
    setup a dnat to the workstation and tell utorrent to use that port.  torrent programs by default can your firewalls to try to find something open for two-way communication.  This behavior is not unexpected given Astaro's default configuration and the program involved.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

  • 0
    Thanks William. I guess that is what I ended up doing. The problem I next ran into was that ASG was generating mass scale port scan messages (1200+ e-mail messages in about 18 hours). 

    Looking at the IDS log, I saw that whenever uTorrent was trying to rapidly open 4-6 connections to external servers on port 6890, ASG was generating port scan messages. I had allowed communication on port 6890 but I guess ASG still treats rapid successive connection attempts on any given port as port scan.
  • 0
    Yes. Best to disable PortScan detection for the IP of your P2P pc.

    Barry
  • 0
    exactly..and turn on notification limiting.

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Unfiltered HTML