Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 19 replies
  • Subscribers 2 subscribers
  • Views 19709 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall Logging

scottj_01
All-

I am seeing in the firewall log since the upgrade to version 9.101-12 an enormous number of dropped entries for firewall rule 6003, tcpflags="ACK PSH FIN". They appear from an number of sources. One of the source sites is this one. I created a firewall rule any>WebGroup>drop and placed it right after websurfing. WebGroup contains http>source 1:65535> destination 80, and the same for https substuing port 80 with port 443. The log traffic box is unchecked. Can the fwrule 6003 be edited to turn off logging? My hair is now in a pile on the floor....Thanks, Jim

2013:06:08-09:52:47 Oasis ulogd[4425]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:1b:21:59:59:3d" srcip="209.123.109.176" dstip="192.168.1.2" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="1632" tcpflags="ACK PSH FIN" 
2013:06:08-09:52:48 Oasis ulogd[4425]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:1b:21:59:59:3d" srcip="209.123.109.177" dstip="192.168.1.2" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="1638" tcpflags="ACK PSH FIN" 
2013:06:08-09:52:48 Oasis ulogd[4425]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:1b:21:59:59:3d" srcip="209.123.109.177" dstip="192.168.1.2" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="1639" tcpflags="ACK PSH FIN" 
2013:06:08-09:53:06 Oasis ulogd[4425]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:1b:21:59:59:3d" srcip="85.115.22.9" dstip="192.168.1.2" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="1671" tcpflags="ACK PSH FIN" 
2013:06:08-09:53:59 Oasis ulogd[4425]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth1" srcmac="0:1b:21:59:59:3d" srcip="85.115.22.9" dstip="192.168.1.2" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="1671" tcpflags="ACK PSH FIN"


This thread was automatically locked due to age.
  • 0
    Then I nominate this for a glitch in either httpproxy or conntrac.  Hopefully, someone with a paid subscription will have the same issue and get a ticket submitted to Support.

    Cheers - Bob
  • 0
    hey Scotty,
    got pointed at this thread by BAlfson,
    do you use transparent mode in the content filtering, by any chance? 

    I am having the same issue, and as it is now, I blame the transparent mode.. when I turn that off, everything works(no new log entries for this rule).


    kind regards,
    Frank
    p.s: my thread can be found Here
  • 0
    If you're both in Transparent, can one of you try Standard mode just to see if this occurs only in Transparent.  I'm guessing that it will occur in Standard mode also, but it's been quite a few years since I read/wrote low-level code!

    Cheers - Bob
  • 0
    this is in standard mode: 

    2013:06:12-08:57:04 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="0:90[:D]0:63:ff:0" dstmac="0:22:15:33:22:fa" srcip="10.60.184.5" dstip="224.0.0.1" proto="2" length="36" tos="0x00" prec="0xc0" ttl="1" 

    2013:06:12-08:57:08 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="93.184.220.29" dstip="192.168.2.238" proto="6" length="40" tos="0x00" prec="0x00" ttl="52" srcport="80" dstport="54241" tcpflags="ACK FIN" 

    2013:06:12-08:57:16 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="93.184.220.29" dstip="192.168.2.238" proto="6" length="40" tos="0x00" prec="0x00" ttl="52" srcport="80" dstport="54254" tcpflags="ACK FIN" 

    2013:06:12-08:57:16 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="93.184.220.29" dstip="192.168.2.238" proto="6" length="40" tos="0x00" prec="0x00" ttl="52" srcport="80" dstport="54256" tcpflags="ACK FIN" 

    2013:06:12-08:57:16 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="93.184.220.29" dstip="192.168.2.238" proto="6" length="40" tos="0x00" prec="0x00" ttl="52" srcport="80" dstport="54255" tcpflags="ACK FIN" 

    2013:06:12-08:57:22 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth1" srcmac="4c:ac:a:12:14:4c" dstmac="0:22:15:33:22:fa" srcip="173.194.66.120" dstip="192.168.2.238" proto="6" length="40" tos="0x00" prec="0x00" ttl="49" srcport="443" dstport="54222" tcpflags="RST" 

    2013:06:12-08:57:22 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="eth0" srcmac="7c:4f:b5:79:76:20" dstmac="0:c:f6[:D]:e5:72" srcip="192.168.2.253" dstip="224.0.0.1" proto="2" length="36" tos="0x00" prec="0x00" ttl="1" 


    transparent: 

    2013:06:12-08:42:49 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK FIN" 

    2013:06:12-08:42:49 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK PSH FIN" 

    2013:06:12-08:42:49 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK PSH FIN" 

    2013:06:12-08:42:51 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK PSH FIN" 

    2013:06:12-08:42:52 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK PSH FIN" 

    2013:06:12-08:42:56 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK PSH FIN" 

    2013:06:12-08:43:04 UTM-Frank ulogd[4459]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="eth0" srcmac="0:c:f6[:D]:e5:72" srcip="141.101.117.48" dstip="192.168.1.3" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="80" dstport="53488" tcpflags="ACK PSH FIN" 


    both are the same 3 pages being refreshed, then I waited 6 minutes, and collected the logs,
  • 0
    I am seeing the same and the CPU load on the Firewall has drastically increased since this started. Any ideas / suggestions how to solve this ?
  • 0
    what do you mean with "since this started"?

    my CPU Usage is at 4%, RAM at 20% at idle.. can try to open some websites, but I don't think it's increased.. but can you please start your own thread? 2 different issues in 1 thread is not really useful..
  • 0 in reply to FrankBarmentlo
    Bob, Frank,

    Yes I am using transparent mode for the proxy. When time permits I will try standard mode and disabled to duplicate what Frank has encountered. It appears this may be a bug. On another note I notice the mempry usage is also up, currently using 13% of 8gb. 9.006 the trend was around 9%. While not a large difference but noteworthy.


    Thanks,
    Jim
  • 0 in reply to BAlfson
    Bob,

    I tried setting the proxy to standard. Strangely enough there were no ACK PSH FIN logs appearing connecting to DSL reports. Then I realized there is a firewall rule running internet ipv4>http responce (80 to 1:65535>internal network 192.168.1.0/24.  Logging unchecked. Back intransparent mode I disabled  the rule. Many of the same entries suddenly appeared however not as verbose. The rule was restarted. I left firefox pointed to http proxy 192.168.1.1 port 8080. DSL Reports was opened the whole time and logging nothing for the last  several minutes. Using the live log for diagnosis I received the following noted entries below. The normal dropped inbound ping/country block/Syn are still logged. So I think this configuration may help in the interum. Please gie it a try. (Maybe I just got lucky.....)

    Set the browser http proxy to internal address, port 8080.
    Set ASG Web Proxy to trans parent.
    Create firewall rule internet ipv4>http responce (80 to 1:65535>internal network 192.168.1.0/24. Leave logging disabled.  A thank you to Bob for his help with this rule.
    Clear the firewall logs observe and report back.

    Bob I think you correctly called the it, the web proxy may have some issues. 

    Thanks,
    Jim

    17:53:34  Default DROP  UDP 
    199.180.116.147  :  5064
    → 
    173.49.152.126  :  5060

    len=446  ttl=251  tos=0x00  srcmac=0:90:1a:a1:41:27  dstmac=0:24:7e:0:c1:82
    17:55:09  Default DROP  ICMP 
    5.255.146.133      
    → 
    173.49.152.126      

    len=52  ttl=251  tos=0x00  srcmac=0:90:1a:a1:41:27  dstmac=0:24:7e:0:c1:82
    17:58:26  Default DROP  TCP 
    173.76.126.233  :  53317
    → 
    173.49.152.126  :  173

    [SYN]  len=52  ttl=121  tos=0x00  srcmac=0:90:1a:a1:41:27  dstmac=0:24:7e:0:c1:82
    17:58:29  Default DROP  TCP 
    173.76.126.233  :  53317
    → 
    173.49.152.126  :  173

    [SYN]  len=52  ttl=121  tos=0x00  srcmac=0:90:1a:a1:41:27  dstmac=0:24:7e:0:c1:82
    17:58:48  Country blocked  TCP 
    210.209.69.188  :  6000
    → 
    173.49.152.126  :  1433

    [SYN]  len=40  ttl=250  tos=0x00  srcmac=0:90:1a:a1:41:27  dstmac=0:24:7e:0:c1:82
    18:01:07  Default DROP  TCP 
    198.13.97.232  :  6000
    → 
    173.49.152.126  :  1433

    [SYN]  len=40  ttl=244  tos=0x00  srcmac=0:90:1a:a1:41:27  dstmac=0:24:7e:0:c1:82