Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 4508 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Troubleshooting port 443 application

MJonesPro
I'm trying to troubleshoot an iphone app that accesses a remote camera feed over port 443. When I look at the firewall logs I don't see any 443 or port 80 traffic. Sophos support says that that traffic will only show up in the web filtering logs. The live web filtering log is nearly unreadable and impossible to work with in real time. I just want to see if the traffic is being blocked or being passed though. Is there a way to see this traffic in the firewall log so that its easier to read? Is this behavior of the type of traffic being separated into different logs new to 9.2? Overall I'm pretty dissapointed with the live logging functionality in this software? Are there any guides on how to work with the logging more efficiently?


This thread was automatically locked due to age.
  • 0
    Are you saying that you don't see any of the relevant IP's in the Web Filtering log? do you see anything related in the Application Control or Intrusion Prevention log?

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    I dont see any 443 or 80 traffic at all in the firewall logs. The number 1 Default rule is Internal Networks -> Web Surfing(Includes http, https) -> Any. Logging is enabled. Nothing shows up in the firewall logs for this rule though.
  • 0
    Since upgrading to 9.2 I have been seeing a ton of really strange things going on that I cant figure out. 

    In the application control log I'm seeing a ton of block entries for Dropbox with the source being my external interface WAN IP. I dont understand how the source could be my firewall. When I view the internal interface live log there is no dropbox traffic so I dont know how to determine where this traffic is really coming from.

    Another strange issue is I'm seeing a lot of "OpenVPN" traffic. This is also supposed to be blocked in application control but it still shows a lot of active connections. I don't know if the firewall is incorrectly classifying this data or if this is legit. The daily reports show 3-4GB of OpenVPN traffic.
  • 0
    Hi, if you're using the http proxy, the source address will be the WAN IP.

    Barry
  • 0 in reply to BarryG
    I'm not using http proxy. For web filtering I'm just using transparent operation mode with no authentication. HTTPS traffic is set to URL filtering. I do have IPS enabled as well. 

    My biggest concern is that I don't see traffic I have specifically told the firewall to log in the live firewall log. If my rule says to allow SSL and to log the traffic then I want to be able to see SSL packets in the live log.
  • 0
    Web filtering == http proxy.

    You'll need to look at the http log instead of the firewall log.

    Barry