Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 17 replies
  • Subscribers 1 subscriber
  • Views 7971 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Webproxy generates a lot of traffic

Boldmen
Sophos UTM 9.103-5

Web Protection -> Web Filtering generates permanent traffic, always using nearly 100% of the WAN line. 
If you set the "Filtering Status" to disabled, traffic stopps immediately.

Flow COntrol shows this:
1 ewe-ol-GGC-Node1-host5-158.cache.google.com tcp/443 65 KB/s 1 MB
2 ewe-ol-GGC-Node1-142.cache.google.com tcp/80 56 KB/s 2 MB
3 ewe-ol-GGC-Node1-host8-167.cache.google.com tcp/80 0 B/s 20 MB
4 ewe-ol-GGC-Node2-241.cache.google.com tcp/443 0 B/s 354 KB
5 ewe-ol-GGC-Node2-241.cache.google.com tcp/80 0 B/s 29 KB 

Even if you enable the webproxy with only one network, for example Cisco VPN Pool (which is not configuried and without user), traffic doesnt stopp!
If you block this traffic in the Flow Controll Monitor (Sophos UTM defined it as "Google"), the traffic doesnt stopp.
When you lock in the web proxy log, the traffic isnt shown there, only th normal web traffic of the users.
Only application control is countig this traffic, but not able to stop it with a application control rule.
Sophos UTM show beetween 400-800 Concurrent connections, even when nobody is surfing,
If you disable the web proxy, only 30-50 connections are displayed, what i think is normal.

Everything else is normal and works fine.

Does anyone have an idea what is going on?

Thx for help!


This thread was automatically locked due to age.
  • 0
    Very strange.  What happens if you restore a config backup from before this behavior started?

    Cheers - Bob
  • 0
    There was no config-change for 6 days at the UTM, it just started at one point, 6 days after i changed something. 
    But i noticed it a few days later, wondering about the low speed when downloading.
    I'm doing Astaro now for 8 years, but i can't grap that problem. What is most scary: the webfilter/proxy logs shows non of this traffic, but it stops when i disable the web proxy. The application control shows this traffic, but when i try to block the traffic, it doesnt work.
    The quantity of the concurrent connections halved after one of the last updates, i read something about an webproxy issue. Also the CPU load was going down to normal after this update.
  • 0
    I understand that there were no changes, but I suspect that something broke in the configuration and doing a restore would confirm or deny that suspicion.

    Cheers - Bob
  • 0
    I can't go back at this point, meanwhile the internet service provide change and i also changes the IP numbers of the internal lan. But at all, that changes nothing on the problem. 
    Are there some shell tools to look up who that traffic is generated? I only know somewhere in the web proxy.

    Thanks Gunnar
  • 0
    what do you mean you can't go back?  make a backup of the current config then install the last one you had as a test..[:)]
  • 0
    Gunnar, if you don't have a config backup, I think you're stuck with printing a printable configuration, re-imaging from ISO and starting from scratch. 

    Cheers - Bob

    Sorry for any short responses.  Posted from my iPhone.
  • 0
    Yes, thats possible, but all the vouchers from the Wireless Protection are gone then.
    I will think about, i have to go one way anyhow.
    Thx for helping again!
  • 0 in reply to Boldmen
    This is very interesting but not sure if the UTM is responsible for the traffic because the range seems too narrow for any kind of up2date mechanism.

    The addresses you posted are 
    80.228.65.158

    80.228.65.142

    80.228.65.167

    80.228.65.241

    Whois info: 
    inetnum:        80.228.65.128 - 80.228.65.191

    netname:        EWETEL-GGC-OL-NET

    descr:          Google Ireland Limited

    descr:          Google Ireland Limited BARROW STREET  1ST & 2ND FLOOR 4

    descr:          DUBLIN IRELAND

    descr:          www.google.ie

    country:        DE

    admin-c:        GOOG-RIPE

    tech-c:         GOOG-RIPE

    tech-c:         ETH1-RIPE

    status:         ASSIGNED PA

    mnt-by:         EWETEL-MNT

    source:         RIPE # Filtered

    

    role:           EWE TEL Hostmaster

    address:        EWE TEL GmbH

    address:        Cloppenburger Strasse 310

    address:        D-26133 Oldenburg

    address:        Germany
  • 0
    So, what you mean exactly?
    Yes, the application control identify it as "Google", but that's not up2date or?

    I recognized some strange behavior, i didn't see bevor, the traffic seems to stop at one point for a few hours, see the pictures.

    I turned off up2date now, will see what happens.
    But up3date not uses the web proxy or? When i disable the web proxy everything is fine : )

    EWE TEL is the internet service provider since a few weeks, 2 times we got new login names, but the problem doesn't change...
  • 0 in reply to Boldmen
    I don't think its astaro traffic. The easiest way would be to remove all cables (other than internet) from the UTM  temporarily and connect via console and run iftop to see if there is any traffic generated. 

    Or you can do the following 

    1. Disable all firewall rules temporarily. (Screenshot1)

    2. Remove everything from your allowed networks in web filtering and see if any traffic is generated. (Screenshot2)

    3. If there is no traffic, then add one network at a time back in allowed networks and see when the traffic begins so you can narrow down the problem network. 

    Good luck[;)]