22
FIrewall Webfilter produziert extrem hohen Traffic
Hallo zusammen,
ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.
Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.
Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).
Danke schonmal!
Grüße
Ketanest
EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...
ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.
Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.
Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).
Danke schonmal!
Grüße
Ketanest
EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 335348
Url: https://administrator.de/contentid/335348
Ausgedruckt am: 19.11.2024 um 05:11 Uhr
22 Kommentare
Neuester Kommentar
Hallo,
Windows 10 Rechner im Netzwerk? Stichwort Creators Update, das kommt so und nicht unbedingt mit den regulaeren Updates.
BFF
Windows 10 Rechner im Netzwerk? Stichwort Creators Update, das kommt so und nicht unbedingt mit den regulaeren Updates.
BFF
Ja, einen.
Aber was ich eben nicht verstehe, ist, warum der Traffic von der Firewall generiert wird und nicht vom Client...
Aber was ich eben nicht verstehe, ist, warum der Traffic von der Firewall generiert wird und nicht vom Client...
Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.
Sind aber keine 20-25G 
Halloele,
Oh doch, wenn die Clients alle fuer sich allein das Upgrade holen wollen und es fuer die UTM so aussieht, dass die Downloadquellen sich immer aendern. Vor kurzen sehen duerfen bei einem wild gewordenen Update Accelerator auf einer IPFire-Box.
BFF
Oh doch, wenn die Clients alle fuer sich allein das Upgrade holen wollen und es fuer die UTM so aussieht, dass die Downloadquellen sich immer aendern. Vor kurzen sehen duerfen bei einem wild gewordenen Update Accelerator auf einer IPFire-Box.
BFF
(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.
Halloele,
Ja schon. Das ist eigentlich per default von MS so eingestellt. Allerdings wurde genau diese Einstellung bewusst in der Umgebung mit der IPFire-Box deaktiviert, weil die ja den Accelerator hatte.
BFF
(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben?
Ja schon. Das ist eigentlich per default von MS so eingestellt. Allerdings wurde genau diese Einstellung bewusst in der Umgebung mit der IPFire-Box deaktiviert, weil die ja den Accelerator hatte.
BFF
Zitat von @certifiedit.net:
Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.
Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.
Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.
WIe meinst du das? Also meine FritzBox sagt mir, dass in etwa 22 GB Traffic generiert wurden in dieser besagten Stunde.
Zitat von @certifiedit.net:
(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.
(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.
Vorhin hieß es Win10, du sprichst hier nun von WinX. Win10 gibt es nur einen Client im Netz, es gibt jedoch 3 Win Server 2012 R2 (DC, Exchange und Terminalserver). Hier sind aber alle Updates aktuell.
Go to Web Protection> Filter Option> Misc> Web Caching. Clear cache and uncheck the "enable caching" option.
Danke, aber der Cache war nie an. Habe ihn auch schon mehrfach geleert.
Auch die Option Streaming Inhalte nicht scannen ist aktiviert.
Thankyou, but the cache has never been enabled. Iv'e cleared it multiple already.
The option do not scan streaming contents is also disabled.
Auch die Option Streaming Inhalte nicht scannen ist aktiviert.
Thankyou, but the cache has never been enabled. Iv'e cleared it multiple already.
The option do not scan streaming contents is also disabled.
Https Traffic wird die wohl kaum aufbrechen, außer man nutzt DPI.
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.
Das ist nicht zufaellig ein 4K-Smart-TV und die Amazon-Videos auch?
Obwohl FullHD schon reicht um ein paar GByte zusammen zu bringen.
Vorhin hieß es Win10, du sprichst hier nun von WinX.
Ist schlicht gleich, 10 oder (roemisch) X
BFF
Zitat von @BassFishFox:
Ist schlicht gleich, 10 oder (roemisch) X
BFF
danke...Vorhin hieß es Win10, du sprichst hier nun von WinX.
Ist schlicht gleich, 10 oder (roemisch) X
BFF
Ok, das mit dem WinX hätt ich mir auch denken könne 
Ist ein Full HD TV, die Videos auch. Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.
Ketanest
Ist ein Full HD TV, die Videos auch. Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.
Ketanest
Und das auf nen Ostermontag. 
Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?
Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?
BFF
Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.
Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?
Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?
BFF
Moin,
Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.
Das ist ein fehlkonfigurierter Malware-Scanner.
Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.
lks
Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.
Das ist ein fehlkonfigurierter Malware-Scanner.
Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.
lks
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert
Spannend wäre ja mal eine Information WAS das für eine Art Traffic ist. Mit dem Wireshark könnte man sowas im Handumdrehen ja sehen und dann schon anhand der Zieladressen der Pakete und des TCP/UDP Ports eine Analyse fahren um was es sich handelt und wo im Internet das hingeht. Also ob es eher gut oder böse ist.Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
Zitat von @aqui:
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
nachdem er gesagt hat, daß das imemr dann der Fall ist, wenn das Supder-Duper-Hochauflösende-SmartTV ebensoche Videos gucken will, sagt meien Kristallkugel, daß es einafch der contentfilter in der UTM ist, dr dei daten solange nur tröpfchenweise zum SmartTV läßt, bis er den gesammten content gezogen und verifiziert hat. Dann denkt sich halt das schlaue TV so ein Schiet-Verbindung und beschwert sich über lahmes Internet und das UTM denkt sich so ein Schiet-TV, will wieder so einen Riesenbrocken, dann muß er halt warten, bis ich die 50GB gezogen habe. Dieses Verhalten ist typisch für proxies mit Contentfilter, die die daten erst dann rausrücken, wenn sie gescannt wurden.
lks
@bff: Ja, direkt an der Fritte gehts (wie gesagt auch ohne Webfilter mit Firewall). Die UTM ist eine VM auf meinem VM Host mit dedizierter 4-Port-Netzwerkkarte (PCI-Passthrough).
@aqui: Sorry, hatte ich vergessen: ist HTTP-Traffic. Zieladresse: WAN-Port von der UTM (wie bereits beschrieben).
@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.
Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
@aqui: Sorry, hatte ich vergessen: ist HTTP-Traffic. Zieladresse: WAN-Port von der UTM (wie bereits beschrieben).
@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.
Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
Hmm über Putty kann man sich doch den Traffic Live anzeigen mit Quelle und Ziel samt Ports .
Vielleicht das erstmal schauen, damit man genau weiß, wer den Traffic von wo nach wo haben will .
Vielleicht das erstmal schauen, damit man genau weiß, wer den Traffic von wo nach wo haben will .
Zitat von @ketanest112:
@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.
Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.
Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
Aber SmartTVs machen manchmal ganz andere Sachen als das, was sie sollen. Manche sind auch mit Malware verseucht. Insbesondere Samsungs (aber auch andere9 sind davon gerne betroffen.
Also Wireshark anwerfen udn schauen, wo der Traffic wirklich hingeht.
lks
Laut einem Kollegen von mir Hostet Amazon teilweise die Video auch bei akamaitechnologies.
Ich habs jetzt so gelöst, dass der TV ne DHCP Reservierung erhält und für diese IP gibts ne Ausnahmeregelung für die Firewall.
Wahrscheinlich werde ich in Zukunft den TV direkt an die Fritte hängen, weil so eine Ausnahme in der Firewall ein gewisses Risiko darstellt.
Danke euch trotzem für die vielen Ideen und Vorschläge!!
Grüße
Ketanest
Ich habs jetzt so gelöst, dass der TV ne DHCP Reservierung erhält und für diese IP gibts ne Ausnahmeregelung für die Firewall.
Wahrscheinlich werde ich in Zukunft den TV direkt an die Fritte hängen, weil so eine Ausnahme in der Firewall ein gewisses Risiko darstellt.
Danke euch trotzem für die vielen Ideen und Vorschläge!!
Grüße
Ketanest
