Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2491 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RST Packets on Astaro 8.309 with Commtouch

Rumak18
Hello,

for some weeks we encounter many RST Packets on the Astaro "Firewall" log:


2013:02:20-00:36:38 MYASTARO01-2 ulogd[5873]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.2" srcmac="0:e[:D]6:92:b4:0" dstmac="0:50:56:b8:0:c" srcip="216.163.188.45" dstip="MYEXTERNALIP" proto="6" length="40" tos="0x00" prec="0x00" ttl="54" srcport="80" dstport="55192" tcpflags="RST"


These entries exist scattered through the whole day and approximately 500 entries a day. I cannot find any "SYN" Packets for this sessions, so i'm quite out of options at this point. 
Furthermore, the same thing happens to these addresses:
84.39.152.31 and 84.39.152.32


This thread was automatically locked due to age.
  • 0
    Hi, 

    You won't see SYN packets in the logs if the traffic is Allowed by a firewall rule, unless you have also turned on 'log packets' on the rule (this will make your logs VERY big).

    And since commtouch communication is handled by a 'hidden' firewall rule, you won't be able to do that anyways.

    I'm not sure why you're seeing them though.

    Barry
  • 0 in reply to BarryG
    Hello BarryG,

    thanks for posting.
    I already tried to log the "SYN" packets with a "any -> http -> commtouch-address" rule, but without any result.
    Of course this also could be a network issue, but i can not determine the cause of this.
  • 0
    My guess is that there's some latency in your ISP's network.  You might try searching here for the way to set TCP timeout parameters.

    Cheers - Bob
  • 0
    I have the same Problem with the UTM 9.005-16 . Have you any solution?
  • 0
    No...no solution. I also open a support request, but did not bring any solution. They guess that it's some sort of time out issue...but in fact, who knows it for sure? There were no tests made by Sophos support. It was just a deduction.
  • 0 in reply to Rumak18
    Just for update...we still have these RST packet every day! They are getting not more but also not less. Still no solution from Sophos.
  • 0
    Right now, the timeout for this is 60 seconds.  You guys can try increasing this on the command line as I suggested above.  As root:

    cc set http response_timeout 120


    Did that change anything?  Note that changes from the command line are not supported, so you do this at your own risk if you have paid support.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hello Balfson,

    as you already described we're not able to change this setting on CLI because it's not supported.