Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 82 replies
  • Subscribers 5 subscribers
  • Views 235803 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro eating my bandwidth

emaart
Hi

I am sitting in South Africa where bandwidth is expensive, slow and limited.
I get 5GB a month, if that is finished I'm capped and have to buy more bandwidth.

In the last 30 days, Astaro blew 7.1GB of my precious bandwidth...
5.1GB went to ec2-175-41-169-159.ap-southeast-1.compute.amazonaws.com
2GB went to several mailshell.net servers.

Note: This is not traffic from my internal network, this is my Astaro box alone, wasting my bandwidth.

How do I stop mailshell and what is being done about the amazon thing (I know some other people is also experiencing this)

Thank is advance



This thread was automatically locked due to age.
  • 0
    I did not receive any updates today and I am not blocking anything.  I also did not see any traffic from the AMAZONAWS address today.  Even when I was blocking the AMAZONAWS address I still received updates successfully so I don't know if this proves anything.

    Updates seem to be fewer on the weekends so I'll wait to see what happens with updates and traffic on Monday.

    Rick
  • 0 in reply to RickWeiss
    Dont't forget, as already mentioned, per default up2date intervals are set to every 15mins. This means it will contact up2date server 96 times per day and check a lot of things as fw, avira, clam, geoip and so on updates and download them if newer are available. I'm not a developer, so I don't know if and which updates are incremental and which are full updates. I for example expect a geoip update as full database download.

    So setting these check values higher may lower your traffc as firmware once a day or week, AV all 1,2 or 4 hours.

    Do you maybe use further network capable devices as game boxes(WII, XBOX etc), Dreamboxes, NAS, Blueray Players etc which also may contact internet regularly ?

    BTW:I wonder that there still some countries / ISP's offer no-Flatrate Broadband Internetaccess...so I expect me to be a happy swiss guy in regard tosuch issues [:)]
  • 0 in reply to utm_kid
    normally i monitor update manually and i found that clam and avira are download "FULL"version of virus  definitions  and each definition is around 50+ mb ,in a day there are 3/4 update and it goes to 200 mb (200*30 ) 

    if it will download virus definitions update patch only then it will be very much much lesser 

    thanks


    It seems the issues is fixed now only around 5 mb download for updates for avira and clam 

    thanks
  • 0
    The issue reappeared yesterday our 8.001 downloaded 458MB from ec2-175-41-169-159.ap-southeast-1.compute.amazonaws.com:
  • 0 in reply to Copyright
    Hi

    Just want to check with you all, how do you all determine that "unknown" (Astaro did not confirm what exactly it is about) traffic is Download Only, Upload Only OR Both?

    Another thing I noticed is ever since V8, I do get "PortScan" by 
    Source IP address: 87.106.105.108 (s15330473.onlinehome-server.info

    Initially, I simply assumed that I happen to get the IP Address of someone else who may be linked to Source IP address: 87.106.105.108 (s15330473.onlinehome-server.info when that person is using this IP Address etc.

    But I purposely forced my cable modem to change Public IP Address several times, confirmed it is really changed and I still get this.

    Source IP address: 87.106.105.108 (s15330473.onlinehome-server.info)

    Thus with this Amazon thing going on, I also wonder if there is something that Astaro is doing with the Source IP address: 87.106.105.108 (s15330473.onlinehome-server.info which we may not know.

    NOT Confirmed, Just Suspect thus throwing this IP and FQDN to see if you all have it in your systems too.
  • 0 in reply to Alvin
    Hi

    I think the Proxy Server is taking a precedence over the Packet Filter thus I want to Block these suspected host further.
    *yeah I know if Astaro hard coded it, there is no way I can block 100% but no harm learn how it behaves etc*

    Just want to check if the following is correct?

    HTTP/S Proxy -> Advance ->
    Skip transparent mode hosts/nets
    EC2-175-41-169-159.AP-SOUTHEAST-1.COMPUTE.AMAZONAWS.COM
    S15330473.ONLINEHOME-SERVER.INFO
    [UNchecked] Allow HTTP/S traffic for listed hosts/nets

    This way it would be blocked by HTTP Proxy right?

    I also put it in the URL Filter -> Additional URLs/sites to block
  • 0 in reply to Alvin
    Guys

    Those Suspicious Traffic is UPLOAD Traffic, NOT Download Traffic.

    Thus it is 

    1) NOT the checking intervals at 15mins causing this.
    2) NOT the Downloading of Entire Avira Definition Files several times a day.

    Refer to the Screenshot for 30 Days for this IP

    175.41.169.159

    ec2-175-41-169-159.ap-southeast-1.compute.amazonaws.com

    HTTP UPLoaded 5.3GB, DOWNloaded 84.3MB
    HTTPS UPLoaded 3.2MB, DOWNLoaded 5.0MB
    Also note there is UDP Traffic too.

    What are we UPloading?
  • 0
    Alvin, 
    it is more likely that the 'IN' and 'OUT' columns are switched; this is more or less a known problem(because defining which traffic is 'IN' and which is 'OUT' gets tricky with >2 NICs). 
    You can check other servers from which you download a lot: your download traffic should also be listed as 'OUT'.

    Regarding the UDP-Traffic: If I remember correctly, the ASG uses traceroute to find the up2date server which is nearest to it. And traceroute uses UDP by default. This would also explain why the UDP-Traffic is unidirectional.
  • 0
    Ulmi, I think Alvin is correct about the direction - there are too many people reporting this and I see unusual outbond volumeson our Astaro.

    Cheers -Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    There is a bug in the network accounting. IN and OUT are swapped.

    This is not outbound traffic. You can cross check this if you are you are doing a big download. It will show the in data as out too.

    Regards,
    Daniel
Unfiltered HTML