Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 53 replies
  • Subscribers 2 subscribers
  • Views 48498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall fails to block an established UDP connection...

GreatByte
Hello Guys,

I am have a weird situation here. I have a PC communicating with a server, both connected to my Sophos Firewall (Firmware: 9.100-16 - not an appliance).

I have a Rule that allows this connection, and it works. Without that Rule, the connection cannot be established. So far so good.
Once established, however, the communication continues even if I disable that rule, or add a rule above it to block that connection. [:S]
It just keeps on working and there doesnt seem to be a way to block it if I wanted to...

I tried it using a PC connected via the Internet and I can even disable the DNat Rule and the connection still continues. Only new connections are being blocked. Is this an expected behavior? Doesnt seem right to me.

Greatbyte


This thread was automatically locked due to age.
Parents
  • 0
    True, UDP is connectionless. I was talking about the application's connection. Sorry for the confusion. [[;)]]

    Well, I figured why do it the complicated way if I can just check it out with Wireshark. [[;)]]

    The client sends a UDP Packet to Server using sPort 51732 and dPort 65000.
    The server replies with an UDP sPort 65000 and dPort 51732.
    This keeps on repeating using the same Ports. 65000 is configured, 51732 is dynamic and different every time the connection is first started.

    I do not have a firewall rule for the reply packet so obviously the Firewall is tracking the "connection". But it seems that the FW only checks the Rules when it starts tracking such a "connection" and not for every packet.
Reply
  • 0
    True, UDP is connectionless. I was talking about the application's connection. Sorry for the confusion. [[;)]]

    Well, I figured why do it the complicated way if I can just check it out with Wireshark. [[;)]]

    The client sends a UDP Packet to Server using sPort 51732 and dPort 65000.
    The server replies with an UDP sPort 65000 and dPort 51732.
    This keeps on repeating using the same Ports. 65000 is configured, 51732 is dynamic and different every time the connection is first started.

    I do not have a firewall rule for the reply packet so obviously the Firewall is tracking the "connection". But it seems that the FW only checks the Rules when it starts tracking such a "connection" and not for every packet.
Children
No Data
Unfiltered HTML