Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2493 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

RST Packets on Astaro 8.309 with Commtouch

Rumak18
Hello,

for some weeks we encounter many RST Packets on the Astaro "Firewall" log:


2013:02:20-00:36:38 MYASTARO01-2 ulogd[5873]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0.2" srcmac="0:e[:D]6:92:b4:0" dstmac="0:50:56:b8:0:c" srcip="216.163.188.45" dstip="MYEXTERNALIP" proto="6" length="40" tos="0x00" prec="0x00" ttl="54" srcport="80" dstport="55192" tcpflags="RST"


These entries exist scattered through the whole day and approximately 500 entries a day. I cannot find any "SYN" Packets for this sessions, so i'm quite out of options at this point. 
Furthermore, the same thing happens to these addresses:
84.39.152.31 and 84.39.152.32


This thread was automatically locked due to age.
Parents
  • 0
    Hi, 

    You won't see SYN packets in the logs if the traffic is Allowed by a firewall rule, unless you have also turned on 'log packets' on the rule (this will make your logs VERY big).

    And since commtouch communication is handled by a 'hidden' firewall rule, you won't be able to do that anyways.

    I'm not sure why you're seeing them though.

    Barry
Reply
  • 0
    Hi, 

    You won't see SYN packets in the logs if the traffic is Allowed by a firewall rule, unless you have also turned on 'log packets' on the rule (this will make your logs VERY big).

    And since commtouch communication is handled by a 'hidden' firewall rule, you won't be able to do that anyways.

    I'm not sure why you're seeing them though.

    Barry
Children
  • 0 in reply to BarryG
    Hello BarryG,

    thanks for posting.
    I already tried to log the "SYN" packets with a "any -> http -> commtouch-address" rule, but without any result.
    Of course this also could be a network issue, but i can not determine the cause of this.