Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3300 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why are some of my top clients NOT inside my network?

Coder68
Four questions:

1. Can someone please explain why am I seeing external sources as Clients in my bandwidth usage report?

I am thinking client -- one of my PC's, tablets, or phones.  My external WAN stuff  makes sense... dns, POP3, NTP, SMTP, BOOTPS (My dynamic WAN IP is my guess) and HTTP/S with it being the proxy. (If I am understanding this correctly.) I am not sure what it means by Domain since I do not host any website.      


This thread was automatically locked due to age.
  • 0
    Add you machines to the network devices by using the DHCP sever convert to .... and don't forget to the tick the DNS box.

    Ian

    XG115W - v20.0.2 MR-2 - Home

    XG on VM 8 - v21 GA

    If a post solves your question please use the 'Verify Answer' button.

  • 0
    I am missing your meaning Ian... can you please elaborate further?

    What about my questions about why these are showing up as clients when they are not inside my network?

    Thanks,

    C68
  • 0
    1) Take a look at the accounting database. 
     psql reporting -U reporting -c "SELECT srcip, cast(SUM(flow_count) AS bigint) AS Conn, cast(SUM(raw_in_pktlen) AS bigint) AS total_raw_in_pktlen, cast(SUM(raw_out_pktlen) AS bigint) AS total_raw_out_pkt_len, cast(SUM(raw_in_pktlen + raw_out_pktlen) AS bigint) AS combined_total_pktlen FROM accounting WHERE logday:[:D]ate = '2015-08-30' GROUP BY srcip ORDER BY combined_total_pktlen DESC, srcip;"


    I suspect the external addresses are in the accounting database as source IPs.  Further details can be extracted from the database to determine what that traffic might have been.

    3) NXDOMAIN was the result of the reverse lookup attempt.  (example results vary depending on network)  
    dig -x 192.168.254.1

    dig -x 192.0.2.1


    4) Create the appropriate DNS entries.
  • 0
    1. Try a google on site:astaro.org clients external and read the first thread found.

    4. Ian was talking about the [Make Static] button on the 'IPv4 Leases' tab.  This creates a Host definition associating the MAC address with a specific name and IP.  Once you've done this, you will want to change the dynamic range of the DHCP server to one that doesn't include any of the static IPs you've assigned.  Otherwise the server might assign one of those IPs to some other device, thus creating a network storm.

    Cheers - Bob
    PS Technically, you should have created three different threads with appropriate titles so that others can find the information more easily.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    Thanks BAlfson

    I think I read that post late last week. I do not use DNAT, and I do not have any inbound services. I am not understanding why they would be initiating the connection...

    I did look at one of them in depth, and it looks liked a spoofed packet at first glance. The dstip is on the spamhaus blacklist. See: Check IP address on DNS Blackhole Lists I will do some digging at work tomorrow, using some of our paid threat intel tools. 

    2015:08:31-12:20:08 REDACTED ulogd[15672]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="0" srcip="MY EXTERNAL IPdstip="206.191.151.226" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="22" dstport="36480" tcpflags="ACK SYN" info="nf_ct_tcp: invalid packet ignored in state SYN_RECV "

    The other "clients" I looked at, including another couple of SSH ones, could not be found in the firewall log.  

    C68
Unfiltered HTML