Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 53 replies
  • Subscribers 2 subscribers
  • Views 48498 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Firewall fails to block an established UDP connection...

GreatByte
Hello Guys,

I am have a weird situation here. I have a PC communicating with a server, both connected to my Sophos Firewall (Firmware: 9.100-16 - not an appliance).

I have a Rule that allows this connection, and it works. Without that Rule, the connection cannot be established. So far so good.
Once established, however, the communication continues even if I disable that rule, or add a rule above it to block that connection. [:S]
It just keeps on working and there doesnt seem to be a way to block it if I wanted to...

I tried it using a PC connected via the Internet and I can even disable the DNat Rule and the connection still continues. Only new connections are being blocked. Is this an expected behavior? Doesnt seem right to me.

Greatbyte


This thread was automatically locked due to age.
  • 0
    Hi ,

    Just to inform.
    Mantis ID 27685.
    This is confirmed and this issue will be fixed in 9.200.

    All my best.
    Gilipeled

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Hi ,

    Just to inform.
    Mantis ID 27685.
    This is confirmed and this issue will be fixed in 9.200.

    All my best.
    Gilipeled


    9.2 ??? [:(]

    Probably expected only in 2014 on a stable GA release...
  • 0
    Hi 

    Yap , it will take few month probably.
    And sad as it is this is the answer from them after we investigated it and the high level support has reproduced it in the lab.

    All my best.
    Gilipeled.

    Gil Peled.

    CEO- Expert2IT LTD.

    SOPHOS Platinum Partner.

    Gil@expert2it.co.Il.

  • 0 in reply to gilipeled
    Wow, that is a long way off.

    I guess I have to drop back to 8.3.... but my 9.x license won't work, will it?

    Paul

    P.S.
    I don't think this would be acceptable to a business using 9.x, would it?
  • 0
    Hi InTheAir,

    UTM licenses are not version specific so you can upgrade/downgrade between versions as you need to without messing up your licensing.
  • 0
    Hi, iirc they changed the license model late in 7.5x or early in 8.x, so your license will work in 8.3x

    Barry
  • 0
    Anybody care to pontificate on the values and detriments of adding a conntrack -F on an hourly or every 30 minutes through cron?   I realize it would drop established connections, but wouldn't they just re-establish if there are no firewall rules to block?  Then, time based rules would work as advertised.  Thinking...
  • 0
    bblank:  In theory, tcp connections should and likely will re-establish themselves.  In the real world though things can be very different.  I would advise being careful about deploying this to everyone right away, perhaps start with a smaller subset of users who opt in to trying this new tactic.  

    Conntrack supports deleting specific connections, I propose you write a cronjob that dumps connections for that specific subset of  users to measure the impact before deploying this widely.
  • 0
    Thanks Jeff... you are correct - initial tests show undesirable results.  Even applications like an Amazon downloader did not recover from the conntrack -F.  I will look into the details of conntrack and be more "surgical" about the flushing.  I will also look to see if changing timeouts/cache timeouts makes the firewall behave the way I would like for it to.

    Bob.
  • 0 in reply to bblank
    I rolled back to 8.309 (reinstall and rebuild) and the issue is there??[:S]??

    I'd swear this worked at one point.  Does anyone remember in which version this worked? [:$]

    Edit: I see in another thread this has been going on since well before 8.  I guess I wait.
Unfiltered HTML