Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 11 replies
  • Subscribers 2 subscribers
  • Views 3334 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Drop Msgs with working WAF setup

tbleier
Hi,

I've setup an WAF with UTM 9 with a virtual server two real servers with some applications in a private network behind it (real server 1 has IP 10.200.3.10 on port 443/HTTPS and server 2 has IP 10.200.3.11 on port 80/HTTP). The UTM has the IP address 10.200.3.1 in this private network.

Everything seems working perfectly, I can access both applications and cannot see and problems, but the Firewall keeps logging drop messages that seem somehow strange to me - e.g. 

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH]	len=153	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK FIN]	len=52	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:49	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:51	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:52	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:53	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:08:56	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:09:01	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK PSH FIN]	len=153	ttl=128	tos=0x00

22:09:02	Default DROP	TCP	10.200.3.10	:	443	→	10.200.3.1	:	49249	[ACK RST]	len=40	ttl=128	tos=0x00


and then the same repeats with another (random) destination port number on 10.200.3.1, and I get similar messages from source port 80 on 10.200.3.11.

As far as I understand it the packet filter somehow misinterprets a standing TCP connection from "itself" (i.e. the WAF) to the "real" webserver as hostile at some point and drops the connection - but it seems that this does not affect the applications itself, so probably it's in the end phase of the connection.

Nevertheless the messages are annoying and giving a wrong picture in the firewall logs and statistics, so I'd like to get rid of them - anybody knows what's going on here?

thanks and br,
__
/homas Bleier


This thread was automatically locked due to age.
Parents
  • 0
    I'm encountering the same issue now under 9.207-19.  I've got a WAF to the same server via two separate "real server" definitions (one for HTTP and one for HTTPS).  HTTPS is working, but the firewall is logging non-stop dropped packets from 443 back to the firewall.  HTTP wasn't working at all, so I tried dumping WAF and went to a DNAT for port 80, which is also basically not working (the front page loads but every subsequent URL fails).  Investigation of the firewall log shows non-stop dropped response packets from 443 and 80 back to the firewall.  I thought Sophos was meant to be stateful?  Have to say I'm very disappointed with my use of Sophos so far, really hoping it's user error.
Reply
  • 0
    I'm encountering the same issue now under 9.207-19.  I've got a WAF to the same server via two separate "real server" definitions (one for HTTP and one for HTTPS).  HTTPS is working, but the firewall is logging non-stop dropped packets from 443 back to the firewall.  HTTP wasn't working at all, so I tried dumping WAF and went to a DNAT for port 80, which is also basically not working (the front page loads but every subsequent URL fails).  Investigation of the firewall log shows non-stop dropped response packets from 443 and 80 back to the firewall.  I thought Sophos was meant to be stateful?  Have to say I'm very disappointed with my use of Sophos so far, really hoping it's user error.
Children
No Data