Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3329 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Drop Msgs with working WAF setup

tbleier
Hi,

I've setup an WAF with UTM 9 with a virtual server two real servers with some applications in a private network behind it (real server 1 has IP 10.200.3.10 on port 443/HTTPS and server 2 has IP 10.200.3.11 on port 80/HTTP). The UTM has the IP address 10.200.3.1 in this private network.

Everything seems working perfectly, I can access both applications and cannot see and problems, but the Firewall keeps logging drop messages that seem somehow strange to me - e.g. 

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH]	len=153	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK FIN]	len=52	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:51	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:52	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:53	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:56	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:09:01	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:09:02	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK RST]	len=40	ttl=128	tos=0x00


and then the same repeats with another (random) destination port number on 10.200.3.1, and I get similar messages from source port 80 on 10.200.3.11.

As far as I understand it the packet filter somehow misinterprets a standing TCP connection from "itself" (i.e. the WAF) to the "real" webserver as hostile at some point and drops the connection - but it seems that this does not affect the applications itself, so probably it's in the end phase of the connection.

Nevertheless the messages are annoying and giving a wrong picture in the firewall logs and statistics, so I'd like to get rid of them - anybody knows what's going on here?

thanks and br,
__
/homas Bleier


This thread was automatically locked due to age.
Parents
  • 0
    Hi, I don't use the WAF (yet), but they're probably from TCP sessions that the firewall has already expired from it's connection tracking; this shows up for users running servers behind the firewall (I've posted about it wrt my web servers).

    Adding a DROP (without LOG) rule for port 80 AFTER the relevant ALLOW rules would be one way to get rid of it from the logs.

    Keep it narrow so you don't lose logging for 'real' blocked traffic.


    Barry
Reply
  • 0
    Hi, I don't use the WAF (yet), but they're probably from TCP sessions that the firewall has already expired from it's connection tracking; this shows up for users running servers behind the firewall (I've posted about it wrt my web servers).

    Adding a DROP (without LOG) rule for port 80 AFTER the relevant ALLOW rules would be one way to get rid of it from the logs.

    Keep it narrow so you don't lose logging for 'real' blocked traffic.


    Barry
Children
  • 0 in reply to BarryG
    Hi,

    here's the sample from the firewall log: 


    2012:08:16-22:08:49 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH" 

    2012:08:16-22:08:49 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="52" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK FIN" 

    2012:08:16-22:08:49 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:08:49 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:08:51 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:08:52 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:08:53 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:08:56 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:09:01 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="153" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK PSH FIN" 

    2012:08:16-22:09:02 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" srcip="10.200.3.10" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="128" srcport="443" dstport="49249" tcpflags="ACK RST" 

    2012:08:16-22:10:48 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:10" dstmac="0:50:56:0:3:1" 


    and here's another sample for the other webserver at port 80: 

    2012:08:16-22:20:52 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:20:52 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:20:52 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:20:53 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:20:55 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:20:58 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:21:05 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:21:18 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 

    2012:08:16-22:21:44 fw ulogd[4630]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth2" srcmac="0:50:56:0:3:11" dstmac="0:50:56:0:3:1" srcip="10.200.3.11" dstip="10.200.3.1" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="37568" tcpflags="RST" 


    It's interesting to note that for the port 443 connection the packets that are dropped have the ACK/PSH/FIN flags set, and for the port 80 connection they have RST set.

    Some more notes about my setup:

    • There is one virtual webserver setup on the WAF for HTTPS on Port 443, with a default site path route to the server at 10.200.3.11 and some paths routed to the server at 10.200.3.10
    • The server at 10.200.3.10 is a Windows Server 2008 R2 with Exchange on Port 443
    • The server at 10.200.3.11 is a Ubuntu 12.04 Server with Apache and some PHP and Rails web applications on Port 80
    • First I was also thinking about a timeout problem with the connection tracking (as the connection on Port 443 is an ActiveSync connection from an iOS device which is known for long standing connections), but I also get the same messages (but as shown above with different flags, so probably it's a different problem) with a connection from a Chrome Webbrowser to a Rails Webapplication immediately some 2-3 seconds after I just opened the first page of this webapplication
    • Just dropping the packets would solve the log problem, but I'm wondering if this is a configuration problem of my setup or a bug in the WAF/packet filter itself?