Concurrent connections in UTM 9.312

Hi, Frank, and welcome to the User BB!

You're the only one reporting this, so you probably will want to open a support case with Sophos.  Does a reboot help?

Does, as root, 

cc get packetfilter timeouts

 give the same result as follows?

packetfilter->timeouts = {
"ip_conntrack_generic_timeout" => 600,
"ip_conntrack_icmp_timeout" => 30,
"ip_conntrack_tcp_timeout_close" => 10,
"ip_conntrack_tcp_timeout_close_wait" => 60,
"ip_conntrack_tcp_timeout_established" => 86400,
"ip_conntrack_tcp_timeout_fin_wait" => 120,
"ip_conntrack_tcp_timeout_last_ack" => 30,
"ip_conntrack_tcp_timeout_max_retrans" => 300,
"ip_conntrack_tcp_timeout_syn_recv" => 60,
"ip_conntrack_tcp_timeout_syn_sent" => 120,
"ip_conntrack_tcp_timeout_time_wait" => 120,
"ip_conntrack_udp_timeout" => 30,
"ip_conntrack_udp_timeout_stream" => 180
}

Cheers - Bob

Hi Bob,

thanks for your response.
The results for the command are the same.

A reboot eliminates all the connections for the moment, but they keep growing the same afterwards:

Hi, i also have the problem posted here https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/42153

I´ve the same problem.

Concurrent connections issue also noted here along with DNS availability group problems.

https://community.sophos.com/products/unified-threat-management/astaroorg/f/54/t/42153

We don't have a DNS availability group configured, so this can't be the problem...

Hi,

after updating to the newest UTM Version 9.312-6, we noticed a constante rise of "concurrent connections", which stopped all our traffic last night, when the concurrent connections went up to 256000 and a "nf_conntrack: table full, dropping packet" message in the kernel.
Has anyone experienced the same problem or has an idea how to solve this?

Frank

do you have ANY kind of p2p software on your network going?  Have you checked the logs and application visibility flow time interface to see if you might be compromised in some way?  I am running .12 and am not seeing this.

Hi William,

there is no P2P traffic or other abnormalities visible in the logs.
We can see this behaviour on 2 independent UTMs after updating to the newest version, so they are probably not compromised, but some kind of bug in the newest software in some constellation.

p2p traffic isn't always obvious..i am not discounting a bug but battle.net defaults to p2p and other programs have as well...i would look at the list of detected applications and make sure none of them either have or have been updated to contain p2p elements.  I ahve also seen compromised mahcines cause connection spikes but not trigger a/v as well.  Especially with some of the newer nasties out there..Most assuredly get support involved though..[:)]

Hi,

could you please run the following command as root on your UTM:

rmmod nf_conntrack_dns

Please have an eye on the concurrent connections afterwards and report back if they are still rising or stay at a certain level.

Thank you.

Regards,
Benjamin