Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3333 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Drop Msgs with working WAF setup

tbleier
Hi,

I've setup an WAF with UTM 9 with a virtual server two real servers with some applications in a private network behind it (real server 1 has IP 10.200.3.10 on port 443/HTTPS and server 2 has IP 10.200.3.11 on port 80/HTTP). The UTM has the IP address 10.200.3.1 in this private network.

Everything seems working perfectly, I can access both applications and cannot see and problems, but the Firewall keeps logging drop messages that seem somehow strange to me - e.g. 

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH]	len=153	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK FIN]	len=52	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:51	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:52	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:53	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:56	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:09:01	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:09:02	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK RST]	len=40	ttl=128	tos=0x00


and then the same repeats with another (random) destination port number on 10.200.3.1, and I get similar messages from source port 80 on 10.200.3.11.

As far as I understand it the packet filter somehow misinterprets a standing TCP connection from "itself" (i.e. the WAF) to the "real" webserver as hostile at some point and drops the connection - but it seems that this does not affect the applications itself, so probably it's in the end phase of the connection.

Nevertheless the messages are annoying and giving a wrong picture in the firewall logs and statistics, so I'd like to get rid of them - anybody knows what's going on here?

thanks and br,
__
/homas Bleier


This thread was automatically locked due to age.
Parents
  • 0
    Ahhh!  Site Path Routing in V9 - I was being dense about that.  OK, I think you've uncovered a small bug.

    For the Firewall Drop rule that Barry suggests, you'll want to make a new service group like "Web Response" and add definitons for "HTTP Response" = 80 -> 1:65535 and "HTTPS Response" = 443 -> 1:65535.  Also, be sure to use the "(Address)" object created by WebAdmin instead of a Host definition for 10.200.3.1.

    Cheers - Bob
Reply
  • 0
    Ahhh!  Site Path Routing in V9 - I was being dense about that.  OK, I think you've uncovered a small bug.

    For the Firewall Drop rule that Barry suggests, you'll want to make a new service group like "Web Response" and add definitons for "HTTP Response" = 80 -> 1:65535 and "HTTPS Response" = 443 -> 1:65535.  Also, be sure to use the "(Address)" object created by WebAdmin instead of a Host definition for 10.200.3.1.

    Cheers - Bob
Children
  • 0 in reply to BAlfson
    Hi,

    Thanks - that's covering the errorneous log messages, but I was hoping to find a solution to resolve the problem behind it (misinterpretation of TCP sessions by the firewall, if I understand correctly), to avoid possible problems with that. 

    But it seems that's a bug - so is someone with a good channel to the developers listening and filing that as a bug, or where can a submit one (didn't find anything apart from the support contact in a quick web browse on the site)...

    br,
    __
    /homas