Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 53 replies
  • Subscribers 2 subscribers
  • Views 48498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall fails to block an established UDP connection...

GreatByte
Hello Guys,

I am have a weird situation here. I have a PC communicating with a server, both connected to my Sophos Firewall (Firmware: 9.100-16 - not an appliance).

I have a Rule that allows this connection, and it works. Without that Rule, the connection cannot be established. So far so good.
Once established, however, the communication continues even if I disable that rule, or add a rule above it to block that connection. [:S]
It just keeps on working and there doesnt seem to be a way to block it if I wanted to...

I tried it using a PC connected via the Internet and I can even disable the DNat Rule and the connection still continues. Only new connections are being blocked. Is this an expected behavior? Doesnt seem right to me.

Greatbyte


This thread was automatically locked due to age.
  • 0
    Very well documented!

    Hmm.. Let's try flushing the connection tracking table just to see what happens.  Turn on SSH on your appliance, SSH in, become root with `su`, and do `conntrack -F`.  Does this cause the connection to get dropped by the firewall rule?

    If so, then I'm pretty sure this is expected behavior for iptables and conntrack.
  • 0
    Been there already tcpdumping. Neat. ;-))

    "conntrack -F" does cause the connection to be dropped.

    ... But what does that tell me? That it is a normal behavior?
    Perhaps the table should be flushed when changes to a rule is made. (Just the connections affected)

    Cant believe that the Rules I am seeing in the GUI may not be what is currently being allowed to pass. Cant see what else is permited either. Spooky.
  • 0
    It can certainly seem like unexpected behavior when you're trying to create a new firewall rule and you see it not taking effect.  I've had a few head-scratching moments like this myself before realizing conntrack was the culprit. 

    Flushing all of conntrack per firewall modification would not be a good solution, but if we can tell conntrack to drop specific connections, then that would be a good solution. Sounds like a good feature request if you've got a sec to check out feature.astaro.com [:)]
  • 0
    Thats probably the best way to implement. 

    Its a bug, not a feature (for once ^^), but its a good idea. I'm going to write my first feature request.

    Edit: Added link to the feature request...

    Thanks for your help. [:)]
    Greatbyte
  • 0
    Hello Guys,

    I am have a weird situation here. I have a PC communicating with a server, both connected to my Sophos Firewall (Firmware: 9.100-16 - not an appliance).

    I have a Rule that allows this connection, and it works. Without that Rule, the connection cannot be established. So far so good.
    Once established, however, the communication continues even if I disable that rule, or add a rule above it to block that connection. [:S]
    It just keeps on working and there doesnt seem to be a way to block it if I wanted to...

    I tried it using a PC connected via the Internet and I can even disable the DNat Rule and the connection still continues. Only new connections are being blocked. Is this an expected behavior? Doesnt seem right to me.


    Its a regression introduced during 9.1 development.
    It will be fixed soon.
  • 0 in reply to 67ef1d
    Its a regression introduced during 9.1 development.
    It will be fixed soon.


    should we expect that for version 9.102?
  • 0 in reply to 67ef1d
    Its a regression introduced during 9.1 development.
    It will be fixed soon.


    With respect, I believe this to be inaccurate, can I ask where you got this from?
  • 0 in reply to jeff.welling
    Hi all,



    Originally Posted by 67ef1d View Post
    Its a regression introduced during 9.1 development.
    It will be fixed soon.
    With respect, I believe this to be inaccurate, can I ask where you got this from? 


    Is this or is this not a bug?  

    I'm seeing this issue with Apples Messaging app.  I have firewall rules that allow the user internet access during certain times of day.  Problem is if a user has the app open and is using it when the firewall rule turns on to block internet access they can still keep going.  If the app wasn't open and running before the block rule kicked in it won't work, so the rule does work.

    Paul
  • 0
    This "bug" does not only affect new rules but renders rules with time periods defined ineffective.  If users have established connections that are supposed to be terminated at a specific time, their session is never terminated as long as data is flowing.  Seems pretty serious to me.
  • 0
    Its not just udp but also tcp...

    We had a dnat rule which forwards port 80 to a web server and we noticed a remote host hogging the connection and put a firewall rule to block the external ip and it continued.

    I even removed the dnat rule and still the connection stayed active. It was only by myself stoping the webserver did it block.
Unfiltered HTML