Public/External IP Addresses as Clients in Bandwidth Usage

This is how it looks like... The mysterious CLIENTS are at the bottom

Hi, and welcome to the User BB!

You would need to see what services they used, and that might indicate a misunderstanding on your part about how some option should be configured.

Cheers - Bob

Thank you for your answer! The services used yesterday (screenshot) and today are:

IP / Service / Protocol
173.194.116.86 (zrh04s08-in-f22.1e100.net) / 49927 / TCP -> Seems to be Google-related
185.9.158.166 (166.158.9.185.salay.com.tr) / 35176 / TCP
185.9.158.166 (166.158.9.185.salay.com.tr) / 7284 / TCP
185.9.158.166 (166.158.9.185.salay.com.tr) / 24738 / TCP
91.240.215.64 / 45803 / TCP
169.54.233.120 (169.54.233.120-static.reverse.softlayer.com) / 17623 / TCP
185.65.200.108 (108.cloudlix.com) / 59541 / TCP
185.65.200.108 (108.cloudlix.com) / 57715 / TCP
185.65.200.108 (108.cloudlix.com) / 53080 / TCP
185.65.200.108 (108.cloudlix.com) / 54634 / TCP
17.143.161.98 / 49481 / TCP
17.172.232.214 / 49173 / TCP
17.143.160.145 / 49152 / TCP

The port numbers don't say anything to me, they're not in the Wikipedia list...

Check the Firewall log.  I bet those connections were blocked.

Cheers - Bob

Thanks Bob! I rechecked the packet filter logs. However, I could not find all the IP addresses. From the list above, I only found the two I'm least suspicious of:

173.194.116.86 (Google, first entry above)
17.143.160.145 (Apple, last entry above)

I have no firewall rules for incoming traffic, my understanding is that the default drop rule will apply: "While not shown, there is always an implied default drop rule,at the bottom of the rule list. This rule will drop and log all traffic which does not match any other rule." Dropped traffic is definitely being logged in abundance...

Since I have no rule allowing incoming traffic, I also don't see any way to log allowed traffic, since that is usually set in the rule's advanced settings...

Do you have any further hint for me?

Today's contestants for most suspicious client:

64.233.167.189 / wl-in-f189.1e100.net
31.13.93.52 / instagram-p3-shv-01-fra3.fbcdn.net
54.170.118.143 / ec2-54-170-118-143.eu-west-1.compute.amazonaws.com
173.252.108.3 / ig-telegraph-shv-05-frc3.facebook.com

Facebook, Google, Amazon AWS: These are definitely services that are used in my network. I'm wondering whether iOS apps can cause this? But they cause hardly any traffic (0.1-0.9 kB according to reporting), so there is not much data transferred. Still: Public Ip addresses listet as clients in my network...

Maybe someone else with a home license (and therefore limited users/entries) might be ready to check his Logging & Reporting > Network Usage > Bandwidth Usage to see whether this behaviour occurs in their setup as well? Thanks!

Now I think I understand your question.  These aren't clients inside your network, they are clients outside your network.  Any device that initiates a conversation is said to be a "client" of the "server" that it addresses.  Does that clear this up?

Cheers - Bob

Thank you for your answer, Bob. That seems plausible. But in that case, my understanding of what's going on must be incomplete.

I thought that in a network that default drops all incoming traffic, there would be no clients apart from the ones inside the authorized network (internal), since all incoming traffic would be "answering" requests from clients inside, and therefore be "server". Isn't that what conntrack is for?

If you have a DNAT, that will show clients from the Internet.  If your IP is an MX for email, clients will come from the Internet.  Remote Access, Webserver Protection, User Portal, etc.

Point is, you will be warned by IPS or ATP if there's a problem, so you don't need to worry about checking up on every client with a public IP.

Cheers - Bob