Concurrent connections (Daily)

How many users do you have, and how many of them are running P2P, worms, etc?

Barry

I have several thousand users going through the box, none of which I have caught running P2P.  As to the Worms, I don't know.  As many as I can keep up with have an updated version of SAV Corp 10.2.   I'm sure there are a few I have missed.

As to the connection count, I guess it just took a few minutes to clear them all out.  I am back upt to 8.5 k right now.  Slowly climbing though.

My outside interface has been maxed out all day.  Riding at about 9.7 megs.  I am seeing a lot of traffic FROM the firewall's outside interface being caught by the "Default drop" rule.  what's up with that?

I am seeing some traffic from our network that may have been P2P or a game server - I've got all traffic from that machine shut off right now.

Seeing lots of denied packets hitting the box, hopfully, they will give up and bother someone else tomorrow.

My outside interface has been maxed out all day.  Riding at about 9.7 megs.  

If you're saying that's unusual, you might want to try something like IPTraf to see who / what is using your bandwidth.

I am seeing a lot of traffic FROM the firewall's outside interface being caught by the "Default drop" rule.  what's up with that?

What IPs and ports?

Barry

No, 9.7 megs is someplace we only spike at every once in a while.  

The problem I have is that I do not see any of the traffic passing through the firewall, so I can't see what the incoming traffic is, right?  

I did find a series of computers trying to get out on some pretty high TCP ports, so I have blocked them totally until I can get out there today and see what it is doing.  The traffic did stop about 10 minutes after I blocked those computers.  I'm thinking it was them.


Just as a sample, my system is still "Default Drop"ing packets to the below sites.  
The first site is actually our region Exchange server, which we access via HTTPS.  I do not know it would be blocked, much less why the traffic would show as being origionated from the outside interface, not a individual client computer.

My.IP.Address : 56525   → 72.32.72.199 : 443 
My.IP.Address : 59551   → 70.85.82.44 : 80 
My.IP.Address : 46321   → 65.205.109.26 : 80 
 
Again, my biggest question is why the outside interface is being reported as the source.

The reason the outside interface is being reported as the source is because the HTTP Proxy uses the outside IP to get content.

That does not explain why it's dropping almost everything though.
Right now, if I look at the PF log I get a constant stream of packets being dropped that origionate at my outside interface.  A good majority of them are packets being sent to my off-site MS-Exchange server.

Users are reporting a lot of sites that time-out, and get an Astaro page that states so, sites(such as this one) where my posts take forever to go through, etc, etc.  

Our grade schools use www.learning.com where the kids take tests, and have to send the data.  They are saying that the sites are timing out when sending the data.  And they are starting to get just a little bit upset.

I have a support request in, but since we only had the silver support we are not likely to hear anything before tomorrow.

As it stands, if I don't hear anything from them before 12;00 today I am going to have to switch back to v6 until they can schedule a time to look at it.

I still want to stick with v7, and if we can get it working I definately will.  But, I like my job more than I like v7.

Can you provide more details of the dropped packets?

It sounds to me like you have some large downloads hogging your pipe which is causing your bandwidth issues.

Astaro US has been on the box for most of the afternoon.  Still on it as far as I can see.

Evidently, v7 is less tolerant about screwed up configurations than v6 was.  The tech has gotten the box to start reporting the actual computer IPs being dropped as opposed to the outside interface, but now she has to figure why they are being dropped at all.

I don't think it is large downloads, as the traffic never actually got through the firewall.  I found a few computers running some music sharing software, and once I cut off all access to and from that computer ( packet filter, http no access profile, oh, and I pulled their network cable ) traffic dropped off in about 10 minutes.

The problem now may be with the HTTP profile config.  At least that is where they are looking.  My users can browse the internet, but it's slow, slow, and they get page timeout screens.  The dropped packets in the PF log that I am concerned about are all port 80.  I know that several of the computers in question have the proper HTTP proxy settings because I would find one in the PF log that was dropping packets, Dameware to that computer, and check them.  And they were able to browse, just slow.

Astaro US has been on the box for most of the afternoon.  Still on it as far as I can see.

Evidently, v7 is less tolerant about screwed up configurations than v6 was.  The tech has gotten the box to start reporting the actual computer IPs being dropped as opposed to the outside interface, but now she has to figure why they are being dropped at all.

I don't think it is large downloads, as the traffic never actually got through the firewall.  I found a few computers running some music sharing software, and once I cut off all access to and from that computer ( packet filter, http no access profile, oh, and I pulled their network cable ) traffic dropped off in about 10 minutes.

The problem now may be with the HTTP profile config.  At least that is where they are looking.  My users can browse the internet, but it's slow, slow, and they get page timeout screens.  The dropped packets in the PF log that I am concerned about are all port 80.  I know that several of the computers in question have the proper HTTP proxy settings because I would find one in the PF log that was dropping packets, Dameware to that computer, and check them.  And they were able to browse, just slow.