Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 10 replies
  • Subscribers 2 subscribers
  • Views 3220 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

What am I doing wrong?

electrometro
So my roommate would like to play his games on my network. I have tried unblocking all the ports required for the game (the ones listed on their website) and it is still not working. I have looked at all of the logs and cannot seem to find any thing being blocked but the connection still will not go through. 

Firewall log during connection attempt: 

15:24:07	Packet filter rule #5	TCP	 	10.1.1.3	:	55768 →	12.130.244.193	:	1119 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:24:22	Packet filter rule #5	TCP	 	10.1.1.3	:	55839 → 12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:24:43	Packet filter rule #5	TCP	 	10.1.1.3	:	55942 → 12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:25:05	Packet filter rule #5	TCP	 	10.1.1.3	:	56041 →	12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:25:26	Packet filter rule #5	TCP	 	10.1.1.3	:	56147 → 12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:25:43	Packet filter rule #5	TCP     10.1.1.3	:	56230 →	12.130.244.193	:	1119 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:25:47	Packet filter rule #5	TCP     10.1.1.3	:	56248 →	12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:26:08	Packet filter rule #5	TCP	    10.1.1.3	:	56347 →	12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:26:30	Packet filter rule #5	TCP     10.1.1.3	:	56444 →	12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:26:36	Packet filter rule #5	TCP	 	10.1.1.3	:	56478 →	12.130.244.193	:	1119 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb

15:26:51	Packet filter rule #5	TCP	 	10.1.1.3	:	56558 →	12.129.242.24	:	3724 [SYN]	len=52	ttl=127	tos=0x00	srcmac=c8:60:0:12:81:e1	dstmac=0:50:56:87:64:eb


Everything in the log is green during the connection attempt.
Everything in the Web Filtering log says "pass" during the connection attempt. 
There is nothing in the application control log during the connection attempt. 

Let me know what information you will need to look at to help me with this. Any help is appreciated. 

Thanks,

Jared.


This thread was automatically locked due to age.
  • 0
    Hi, Jared, and welcome to the User BB!

    First, alone among the Live Logs, the Firewall Live Log presents abbreviated information in a format that's quicker to read.  When posting lines from the Firewall log, always copy them out of the full Firewall log file.  If there's nothing blocked, don't bother with that for this issue.

    At first, I thought you might already have found #1 in the Rulz, but I saw no mention of the Intrusion Prevention System log - anything there?

    Sometimes, a site won't like working with a proxy.  Please post one or more "pass" lines related to this issue so that we can see whether there's any indication of that.

    Cheers - Bob
  • 0 in reply to BAlfson
    Hi, Jared, and welcome to the User BB!

    First, alone among the Live Logs, the Firewall Live Log presents abbreviated information in a format that's quicker to read.  When posting lines from the Firewall log, always copy them out of the full Firewall log file.  If there's nothing blocked, don't bother with that for this issue.

    At first, I thought you might already have found #1 in the Rulz, but I saw no mention of the Intrusion Prevention System log - anything there?

    Sometimes, a site won't like working with a proxy.  Please post one or more "pass" lines related to this issue so that we can see whether there's any indication of that.

    Cheers - Bob


    Hello Bob, thank you for the reply. 

    Sorry about not posting the full log, I didn't even think about it. 

    I did not get any logs during connection from the IPS. 

    Here is my web filter log: 

    2014:10:04-16:20:39 sophos httpproxy[25490]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.3" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0x11cc48a0" url="http://us.launcher.battle.net/service/app/alert/en-us" exceptions="content,url,application" error="" authtime="0" dnstime="117" cattime="0" avscantime="918" fullreqtime="75867" device="0" auth="0" content-type="text/plain" application="bnetapp" app-id="1289"

    2014:10:04-16:20:39 sophos httpproxy[25490]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.3" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0x11cc4ac8" url="http://us.launcher.battle.net/service/app/maintenance/en-us" exceptions="content,url,application" error="" authtime="0" dnstime="66" cattime="0" avscantime="907" fullreqtime="76082" device="0" auth="0" content-type="text/plain" application="bnetapp" app-id="1289"

    2014:10:04-16:21:32 sophos httpproxy[25490]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="CONNECT" srcip="10.1.1.3" dstip="12.129.242.40" user="" ad_domain="" statuscode="200" cached="0" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="7126" request="0x9848dd8" url="https://us.battle.net/" exceptions="application" error="" authtime="0" dnstime="239746" cattime="53511" avscantime="0" fullreqtime="10481158" device="0" auth="0" category="116" reputation="neutral" categoryname="Games"

    2014:10:04-16:25:39 sophos httpproxy[25490]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.3" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0xa005910" url="http://us.launcher.battle.net/service/app/maintenance/en-us" exceptions="content,url,application" error="" authtime="0" dnstime="43" cattime="0" avscantime="1043" fullreqtime="73589" device="0" auth="0" content-type="text/plain" application="bnetapp" app-id="1289"

    2014:10:04-16:25:39 sophos httpproxy[25490]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.3" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_DefaultHTTPProfile (Default Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0xa005b38" url="http://us.launcher.battle.net/service/app/alert/en-us" exceptions="content,url,application" error="" authtime="0" dnstime="65" cattime="0" avscantime="606" fullreqtime="75999" device="0" auth="0" content-type="text/plain" application="bnetapp" app-id="1289"
  • 0
    The middle line has fullreqtime="10481158" which seems much longer than usual.  What happens if you select 'Do not scan' for 'HTTPS (SSL) traffic'?  If that solves the problem, then try changing back to your current selection and adding an Exception for 'SSL scanning' for https://[A-Za-z0-9.-]*battle.net/.  Any luck with that?

    Cheers - Bob
  • 0 in reply to BAlfson
    The middle line has fullreqtime="10481158" which seems much longer than usual.  What happens if you select 'Do not scan' for 'HTTPS (SSL) traffic'?  If that solves the problem, then try changing back to your current selection and adding an Exception for 'SSL scanning' for https://[A-Za-z0-9.-]*battle.net/.  Any luck with that?

    Cheers - Bob


    So I tried to turn off the HTTPS filtering and I lost all web traffic. I was able to ping outside the network but was not able to do anything else. I played around with the standard and transparent operation modes and it made no difference.
  • 0
    For when you turned off the HTTPS filtering, do you have a firewall rule to allow HTTPS traffic?
  • 0 in reply to Scott_Klassen
    For when you turned off the HTTPS filtering, do you have a firewall rule to allow HTTPS traffic?


    Yes. The default rule is still in place allowing HTTPS traffic.
  • 0 in reply to Amodin
    https://www.astaro.org/gateway-products/web-protection-web-filtering-application-visibility-control/37541-master-list-web-exceptions.html

    This link may or may not help you.
     

    Thanks.  I will try those out tonight when I get home.

    I still don't understand why when I turn off https scanning no Web traffic works.

    Edit:

    So I have tried applying regex rules that apply to battle.net. 

    Here is the rule I applied:

    ^https?://([A-Za-z0-9.-]*\.)?blizzard\.com/
    ^https?://([A-Za-z0-9.-]*\.)?battle\.net/


    And here is the webfilter log afterwards when trying to connect:

    2014:10:07-18:23:56 sophos httpproxy[5368]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.245" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_HttProContaInterNetwo (Jareds Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0xa91b6f0" url="http://us.launcher.battle.net/service/app/alert/en-us" exceptions="av,content,url,ssl,certcheck,certdate,mime,fileextension" error="" authtime="0" dnstime="103766" cattime="0" avscantime="0" fullreqtime="175520" device="0" auth="0"

    2014:10:07-18:23:56 sophos httpproxy[5368]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.245" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_HttProContaInterNetwo (Jareds Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0xa91b918" url="http://us.launcher.battle.net/service/wow/alert/en-us" exceptions="av,content,url,ssl,certcheck,certdate,mime,fileextension" error="" authtime="0" dnstime="103752" cattime="0" avscantime="0" fullreqtime="175839" device="0" auth="0"

    2014:10:07-18:23:56 sophos httpproxy[5368]: id="0001" severity="info" sys="SecureWeb" sub="http" name="http access" action="pass" method="GET" srcip="10.1.1.245" dstip="12.129.242.21" user="" ad_domain="" statuscode="200" cached="4" profile="REF_HttProContaInterNetwo (Jareds Web Filter Profile)" filteraction="REF_DefaultHTTPCFFAction (Default content filter action)" size="1" request="0xa956788" url="http://us.launcher.battle.net/service/app/maintenance/en-us" exceptions="av,content,url,ssl,certcheck,certdate,mime,fileextension" error="" authtime="0" dnstime="103746" cattime="0" avscantime="0" fullreqtime="176423" device="0" auth="0"

  • 0
    Unlike the lines in Post#3, there's no line for https in Post#9.  That makes  think that the proxy is in Transparent and that 'Do not scan' is selected for 'HTTPS (SSL) traffic'.  Check the Firewall, Application Control and Intrusion Prevention logs at 18:23:56 on 10/07.  Anything there?

    Cheers - Bob
  • 0 in reply to BAlfson
    Unlike the lines in Post#3, there's no line for https in Post#9.  That makes  think that the proxy is in Transparent and that 'Do not scan' is selected for 'HTTPS (SSL) traffic'.  Check the Firewall, Application Control and Intrusion Prevention logs at 18:23:56 on 10/07.  Anything there?

    Cheers - Bob


    There was nothing in those logs so I did a factory reset and set it all back up again and it is working fine now. 

    Thanks for your help.