Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1793 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Are IPS Exceptions Session-Based

Euphrates_01
I'm curious about something.  

I was wondering if the IPS exceptions are session-based?  What I mean is, if I have a rule bypassing traffic from Network A to Network B, is the returning traffic also bypassed?  I ask this because, when I originally switched to Sophos UTM for my home network, in order to improve bittorrent performance, I had to create both a source and destination rule for the torrent workstation in order to fully bypass IPS and increase bandwidth utilization.  Granted, this could be the nature of how the Bittorrent protocol works but I wanted to make sure I didn't need to "reverse" the traffic along with the source/destination port setups to ensure the return traffic is appropriately bypassed.


This thread was automatically locked due to age.
Parents
  • 0
    Yes, this is the nature of bitorrent, which is decentralized.  Connections to you from peers are not reply packets, they are unsolicited connections.
  • 0 in reply to Scott_Klassen
    Yes, this is the nature of bitorrent, which is decentralized.  Connections to you from peers are not reply packets, they are unsolicited connections.


    I have the appropriate IPS exception for that like so:

    To: Torrent Workstation
    Source Port:  1:65535
    Destination Port:  10000

    Based off this, incoming connections on port 10000 going to the Torrent Workstation should bypass the IPS as well as the return connections.  However, with this rule alone, I found I wasn't able to fully maximize my bandwidth until I added the following rule:

    From:  Torrent Workstation
    Source Port:  10000
    Destination Port:  1:65535

    I can only assume that, when connecting outbound, the torrent client, in this case, uTorrent, is using its server port (port 10000) as the source port of the initial connection.  From what I read, it is supposed to act like any TCP/UDP application and use a higher order port above 1024 as the source port.  With that said, it is the only thing I can think of as to why adding that rule would work.

    When testing this, I used one of the Ubuntu bittorrent links on this page:

    Alternative downloads | Ubuntu
Reply
  • 0 in reply to Scott_Klassen
    Yes, this is the nature of bitorrent, which is decentralized.  Connections to you from peers are not reply packets, they are unsolicited connections.


    I have the appropriate IPS exception for that like so:

    To: Torrent Workstation
    Source Port:  1:65535
    Destination Port:  10000

    Based off this, incoming connections on port 10000 going to the Torrent Workstation should bypass the IPS as well as the return connections.  However, with this rule alone, I found I wasn't able to fully maximize my bandwidth until I added the following rule:

    From:  Torrent Workstation
    Source Port:  10000
    Destination Port:  1:65535

    I can only assume that, when connecting outbound, the torrent client, in this case, uTorrent, is using its server port (port 10000) as the source port of the initial connection.  From what I read, it is supposed to act like any TCP/UDP application and use a higher order port above 1024 as the source port.  With that said, it is the only thing I can think of as to why adding that rule would work.

    When testing this, I used one of the Ubuntu bittorrent links on this page:

    Alternative downloads | Ubuntu
Children
No Data