Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 1 subscriber
  • Views 3110 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Applicatio​n Control app list - eDonkey

FreddieSorensen
Hi

Where can I find a list of the apps cooresponding to the app numbers, f.ex. app="147" ?

If I see that some eDonkey has been filtered, I check the Report but I only have these app numbers. How can I find out which computer is running eDonkey ?

In the daily report :

Application Control
Application Filtering
TOP10 Applications
Total Packets: 2 091
Application Packets % of total
1 Facebook 1 813 86.70
2 Winny 137 6.55
3 eDonkey 76 3.63

Then, in the UTM 9 Web Admin console, I go to logs & reports (Protokolle & Berichte in german), and view the Application Control log, I see entries like below (I X'ed out the IP and mac addresses), here you see app="147". In other cases there are other app values. How can I find out which number is eDonkey, Winny, etc ?
 
2013:03:22-00:56:22 cable-static-***XX ulogd[4525]: id="2019" severity="info" sys="SecureNet" sub="packetfilter" name="AFC Block" action="drop" fwrule="3" outitf="eth1" mark="0x3093" app="147" srcmac="******" srcip="******" dstip="******" proto="6" length="40" tos="0x00" prec="0x00" ttl="127" srcport="1720" dstport="443" tcpflags="ACK" 

Thanks for any help


This thread was automatically locked due to age.
  • 0
    Hi, according to
    https://community.sophos.com/products/unified-threat-management/astaroorg/f/80/t/65022

    You can look at /etc/afc/applications

    The answer on my 9.006 firewall:
    > grep -i donk /etc/afc/applications
    573,File Transfer,eDonkey

    147 appears to be FaceBook.

    You can also run a script against your log to change the numbers to names, e.g.
    afc-mark-filter.pl 
  • 0
    is there any way to copy this list to a document(let's say I would like it on my client), for if I need access later, without logging in to the server every time I look through the logs for finetuning?
  • 0
    Hi, you can use an SCP client on a PC to copy files from the firewall; be sure to enable SSH access in WebAdmin, and use the 'loginuser' username.

    Free clients for Windows:
    Putty (free, opensource) has a command-line client (pscp)
    WinSCP (free, iirc)
    TotalCommander (shareware/nagware) has a couple SCP plugins; use the newer one as the berlios one has issues with some servers.

    Barry
  • 0
    When you download putty, also download puttygen.  Use it to create a private-public SSH keyset pair for use with both putty and WinSCP.  You'll need this in order to be able to login directly as root with WinSCP.  You'll also want to configure this capability in 'Management >> System Settings' on the 'Shell Access' tab.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Cookie Information Banner