Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 3302 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Why are some of my top clients NOT inside my network?

Coder68
Four questions:

1. Can someone please explain why am I seeing external sources as Clients in my bandwidth usage report?

I am thinking client -- one of my PC's, tablets, or phones.  My external WAN stuff  makes sense... dns, POP3, NTP, SMTP, BOOTPS (My dynamic WAN IP is my guess) and HTTP/S with it being the proxy. (If I am understanding this correctly.) I am not sure what it means by Domain since I do not host any website.      


This thread was automatically locked due to age.
Parents
  • 0
    1. Try a google on site:astaro.org clients external and read the first thread found.

    4. Ian was talking about the [Make Static] button on the 'IPv4 Leases' tab.  This creates a Host definition associating the MAC address with a specific name and IP.  Once you've done this, you will want to change the dynamic range of the DHCP server to one that doesn't include any of the static IPs you've assigned.  Otherwise the server might assign one of those IPs to some other device, thus creating a network storm.

    Cheers - Bob
    PS Technically, you should have created three different threads with appropriate titles so that others can find the information more easily.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Reply
  • 0
    1. Try a google on site:astaro.org clients external and read the first thread found.

    4. Ian was talking about the [Make Static] button on the 'IPv4 Leases' tab.  This creates a Host definition associating the MAC address with a specific name and IP.  Once you've done this, you will want to change the dynamic range of the DHCP server to one that doesn't include any of the static IPs you've assigned.  Otherwise the server might assign one of those IPs to some other device, thus creating a network storm.

    Cheers - Bob
    PS Technically, you should have created three different threads with appropriate titles so that others can find the information more easily.
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
Children
  • 0 in reply to BAlfson
    Thanks BAlfson

    I think I read that post late last week. I do not use DNAT, and I do not have any inbound services. I am not understanding why they would be initiating the connection...

    I did look at one of them in depth, and it looks liked a spoofed packet at first glance. The dstip is on the spamhaus blacklist. See: Check IP address on DNS Blackhole Lists I will do some digging at work tomorrow, using some of our paid threat intel tools. 

    2015:08:31-12:20:08 REDACTED ulogd[15672]: id="2000" severity="info" sys="SecureNet" sub="packetfilter" name="Packet logged" action="log" fwrule="0" srcip="MY EXTERNAL IPdstip="206.191.151.226" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="22" dstport="36480" tcpflags="ACK SYN" info="nf_ct_tcp: invalid packet ignored in state SYN_RECV "

    The other "clients" I looked at, including another couple of SSH ones, could not be found in the firewall log.  

    C68
Unfiltered HTML