Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 24 replies
  • Subscribers 2 subscribers
  • Views 28109 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

BitTorrent no longer working

BigO
Last week I took the plunge and updated my firewall from ASG 8.311 to UTM 9.106-17

Another problem that I have identified after doing the update is that I can no longer download torrents.
This was working fine in v8.x but no matter what I try, I cannot get it back up an running in v9.1

Due to another issue I was having, I redid the UTM 9.1 installation using a v9 backup file created from the initial installation, which was done using my latest v8.3.11 backup file.
This resolved my download manager issues (in part), but it did not fix the torrent downloads failing.

My torrent setup is pretty straight forward.
I have two service definitions; one for torrents in and one for torrents out, one DNAT rule and and IPS exception.
See attached image for how these are configured.

I have deleted all of these entries and recreated them, all to no avail.
These are exactly the same configurations that I had in v8.x, where they worked fine.

I have no idea what else I can do, other that a completely clean UTM 9.1 installation, which I would like to avoid if at all possible.

Any ideas????


This thread was automatically locked due to age.
  • 0
    What about firewall, IPS and Application Control logs?
  • 0
    I am not seeing any torrent traffic on 52525 when I open the live firewall log. I have seen an entry for IPS rule 2101 in the IPS log, which is bizarre, given that I have an exception for IPS on the torrent ports.
    None the less, I added a rule under Intrusion Prevention > Advanced where I disabled that rule. However, even after doing this I still see that line in the IPS log.

    This is driving me crazy and I am very close to reverting back to v8.311, where life, the universe and all other things were in harmony.
  • 0
    Did you try to set an Any -> Any -> Any - Allow rule on top of your firewall and disable IPS and Application Control (just for testing)?
  • 0
    Application Control is not enabled (not now nor in v8.x) and yes, I tried disabling IPS.
    That had not worked.

    I do have an Any > Any > Any rule in my firewall settings, but the thought of enabling it always scares me, as it leaves my entire network open to the world.
    That said, I took your advice and enabled it. Within a few seconds I started to see 52525 traffic appear in the live firewall log. Much to my surprise, when I disabled this rule the NAT rule kicked in.

    It is nice that this happened, as it would appear that now my torrent stuff is working again. However, it is pretty sad that I needed to do this. It is not meant to work that way...

    Anyhoo, thanks for your help.
  • 0
    Another related question...

    I have also noticed that some additional service definitions have been automatically created.
    These definitions appear at the top of the definitions list. When I click on the information icon it says that neither of these definitions are in use. Upon inspection, these are copies of my BT-52525-IN service definition.

    Can anyone explain why they are there, or why they were created, given that they do not appear to be associated with anything on the firewall.
    Is there any reason why I should not delete these definitions?

    See attached.
  • 0
     I have seen an entry for IPS rule 2101 in the IPS log, which is bizarre, given that I have an exception for IPS on the torrent ports.


    Hi, 
    You need to disable the Torrent rules in the IPS:
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/41225

    I don't understand what you mean about an IPS exception for PORTS; there's no such thing in the UTM afaik; only by hosts/networks.

    Barry
  • 0 in reply to BarryG

    I don't understand what you mean about an IPS exception for PORTS; there's no such thing in the UTM afaik; only by hosts/networks.


    Have a look at the image in my first post Barry.
    The exception is not really for ports, its for service definitions. Those two service definitions are the ports used for torrents.

    2180, 2181, 16281, & 16282 - POLICY Rule, Intended to block BitTorrent (i.e. not a "false positive").Numerous reports.


    You mention the above IPS rules in the post you linked to. As I said... I was seeing entries for rule 2101, but adding a modified rule under Network Protection > Intrusion Protection > Advanced that had that rule disabled did not stop it from appearing in the logs.
  • 0
    2101 is not the SID. Please show the line from the IPS log. 

    Cheers B- ob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    This is my bad, I think.
    It would appear that I was a little remiss in reading the entire line from the log. Blindly, I think that I only saw BitTorrent and stopped processing at that point.

    I think that this was the line from the IPS log:
    2013:10:26-18:07:48 FIREWALL snort[9211]: id="2101" severity="warn" sys="SecureNet" sub="ips" name="Intrusion protection alert" action="drop" reason="PUA-P2P BitTorrent announce request" group="500" srcip="***.***.***.***" dstip="***.***.***.***" proto="6" srcport="54691" dstport="80" sid="2180" class="Potential Corporate Privacy Violation" priority="1"  generator="1" msgid="0"

    Packets on port 54691 were dropped, as they should have been.

    For my future reference, you are saying that to exclude/modify an IPS rule you need to use the SID, not the ID. Right?
  • 0
    As for the IPS exception of the two BitTorrent ports...
    I got that from a post made by VelvetFog some time back when I setup my BitTorrent rules on 8.x.
    This was the post: https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/40617