Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 53 replies
  • Subscribers 2 subscribers
  • Views 48498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall fails to block an established UDP connection...

GreatByte
Hello Guys,

I am have a weird situation here. I have a PC communicating with a server, both connected to my Sophos Firewall (Firmware: 9.100-16 - not an appliance).

I have a Rule that allows this connection, and it works. Without that Rule, the connection cannot be established. So far so good.
Once established, however, the communication continues even if I disable that rule, or add a rule above it to block that connection. [:S]
It just keeps on working and there doesnt seem to be a way to block it if I wanted to...

I tried it using a PC connected via the Internet and I can even disable the DNat Rule and the connection still continues. Only new connections are being blocked. Is this an expected behavior? Doesnt seem right to me.

Greatbyte


This thread was automatically locked due to age.
Parents
  • 0
    Just noticed that you mentioned UDP, and the state of the stream should only apply to TCP as far as I know..  Can you show us some tcpdump output for that traffic?

    Are you sure you've matched the destination *and* source ports correctly?  Most of the time, you don't need to change the source port from 1:65535 unless you know the application only transmits on one port.

    Are you sure you don't have a firewall rule that matches that traffic higher up in your firewall rules? Firewall rules are processed top down, the first rule to match wins.

    Do you have any DNAT rules that have Auto Firewall Rule enabled and that match that traffic?
Reply
  • 0
    Just noticed that you mentioned UDP, and the state of the stream should only apply to TCP as far as I know..  Can you show us some tcpdump output for that traffic?

    Are you sure you've matched the destination *and* source ports correctly?  Most of the time, you don't need to change the source port from 1:65535 unless you know the application only transmits on one port.

    Are you sure you don't have a firewall rule that matches that traffic higher up in your firewall rules? Firewall rules are processed top down, the first rule to match wins.

    Do you have any DNAT rules that have Auto Firewall Rule enabled and that match that traffic?
Children
No Data
Unfiltered HTML