ketanest112
Goto Top

FIrewall Webfilter produziert extrem hohen Traffic

Hallo zusammen,

ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.

Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.

Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).

Danke schonmal!
Grüße
Ketanest

EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...

Content-ID: 335348

Url: https://administrator.de/forum/firewall-webfilter-produziert-extrem-hohen-traffic-335348.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

BassFishFox
BassFishFox 16.04.2017 um 21:50:26 Uhr
Goto Top
Hallo,

Windows 10 Rechner im Netzwerk? Stichwort Creators Update, das kommt so und nicht unbedingt mit den regulaeren Updates.

BFF
ketanest112
ketanest112 16.04.2017 um 21:53:46 Uhr
Goto Top
Ja, einen.
Aber was ich eben nicht verstehe, ist, warum der Traffic von der Firewall generiert wird und nicht vom Client...
certifiedit.net
Lösung certifiedit.net 16.04.2017 um 23:53:32 Uhr
Goto Top
Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.
certifiedit.net
certifiedit.net 16.04.2017 um 23:53:48 Uhr
Goto Top
Sind aber keine 20-25G face-wink
BassFishFox
BassFishFox 17.04.2017 aktualisiert um 01:04:15 Uhr
Goto Top
Halloele,

Oh doch, wenn die Clients alle fuer sich allein das Upgrade holen wollen und es fuer die UTM so aussieht, dass die Downloadquellen sich immer aendern. Vor kurzen sehen duerfen bei einem wild gewordenen Update Accelerator auf einer IPFire-Box.


BFF
certifiedit.net
certifiedit.net 17.04.2017 um 01:17:24 Uhr
Goto Top
(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.
BassFishFox
BassFishFox 17.04.2017 um 01:25:25 Uhr
Goto Top
Halloele,

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben?

Ja schon. Das ist eigentlich per default von MS so eingestellt. Allerdings wurde genau diese Einstellung bewusst in der Umgebung mit der IPFire-Box deaktiviert, weil die ja den Accelerator hatte.

BFF
ketanest112
ketanest112 17.04.2017 aktualisiert um 14:36:35 Uhr
Goto Top
Zitat von @certifiedit.net:

Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.

Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.


Zitat von @certifiedit.net:

Sind aber keine 20-25G face-wink

WIe meinst du das? Also meine FritzBox sagt mir, dass in etwa 22 GB Traffic generiert wurden in dieser besagten Stunde.


Zitat von @certifiedit.net:

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.

Vorhin hieß es Win10, du sprichst hier nun von WinX. Win10 gibt es nur einen Client im Netz, es gibt jedoch 3 Win Server 2012 R2 (DC, Exchange und Terminalserver). Hier sind aber alle Updates aktuell.
132895
132895 17.04.2017 um 14:38:12 Uhr
Goto Top
Go to Web Protection> Filter Option> Misc> Web Caching. Clear cache and uncheck the "enable caching" option.
ketanest112
ketanest112 17.04.2017 um 14:44:00 Uhr
Goto Top
Danke, aber der Cache war nie an. Habe ihn auch schon mehrfach geleert.
Auch die Option Streaming Inhalte nicht scannen ist aktiviert.

Thankyou, but the cache has never been enabled. Iv'e cleared it multiple already.
The option do not scan streaming contents is also disabled.
132895
132895 17.04.2017 aktualisiert um 14:55:47 Uhr
Goto Top
BassFishFox
BassFishFox 17.04.2017 aktualisiert um 15:32:04 Uhr
Goto Top
Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.

Das ist nicht zufaellig ein 4K-Smart-TV und die Amazon-Videos auch?
Obwohl FullHD schon reicht um ein paar GByte zusammen zu bringen.

Vorhin hieß es Win10, du sprichst hier nun von WinX.

Ist schlicht gleich, 10 oder (roemisch) X face-wink

BFF
certifiedit.net
certifiedit.net 17.04.2017 um 15:38:36 Uhr
Goto Top
Zitat von @BassFishFox:
Vorhin hieß es Win10, du sprichst hier nun von WinX.

Ist schlicht gleich, 10 oder (roemisch) X face-wink

BFF
danke...
ketanest112
ketanest112 17.04.2017 um 15:59:17 Uhr
Goto Top
Ok, das mit dem WinX hätt ich mir auch denken könne face-big-smile

Ist ein Full HD TV, die Videos auch. Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.

Ketanest
BassFishFox
BassFishFox 17.04.2017 aktualisiert um 17:06:56 Uhr
Goto Top
Und das auf nen Ostermontag. face-sad

Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.

Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?

Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?

BFF
Lochkartenstanzer
Lösung Lochkartenstanzer 17.04.2017 aktualisiert um 19:49:11 Uhr
Goto Top
Moin,

Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.

Das ist ein fehlkonfigurierter Malware-Scanner.

Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.

lks
aqui
aqui 18.04.2017 aktualisiert um 11:17:14 Uhr
Goto Top
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert
Spannend wäre ja mal eine Information WAS das für eine Art Traffic ist. Mit dem Wireshark könnte man sowas im Handumdrehen ja sehen und dann schon anhand der Zieladressen der Pakete und des TCP/UDP Ports eine Analyse fahren um was es sich handelt und wo im Internet das hingeht. Also ob es eher gut oder böse ist.
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert... face-sad
Lochkartenstanzer
Lösung Lochkartenstanzer 18.04.2017 aktualisiert um 11:42:55 Uhr
Goto Top
Zitat von @aqui:

Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert... face-sad


nachdem er gesagt hat, daß das imemr dann der Fall ist, wenn das Supder-Duper-Hochauflösende-SmartTV ebensoche Videos gucken will, sagt meien Kristallkugel, daß es einafch der contentfilter in der UTM ist, dr dei daten solange nur tröpfchenweise zum SmartTV läßt, bis er den gesammten content gezogen und verifiziert hat. Dann denkt sich halt das schlaue TV so ein Schiet-Verbindung und beschwert sich über lahmes Internet und das UTM denkt sich so ein Schiet-TV, will wieder so einen Riesenbrocken, dann muß er halt warten, bis ich die 50GB gezogen habe. Dieses Verhalten ist typisch für proxies mit Contentfilter, die die daten erst dann rausrücken, wenn sie gescannt wurden.

lks
ketanest112
ketanest112 18.04.2017 um 13:31:19 Uhr
Goto Top
@bff: Ja, direkt an der Fritte gehts (wie gesagt auch ohne Webfilter mit Firewall). Die UTM ist eine VM auf meinem VM Host mit dedizierter 4-Port-Netzwerkkarte (PCI-Passthrough).

@aqui: Sorry, hatte ich vergessen: ist HTTP-Traffic. Zieladresse: WAN-Port von der UTM (wie bereits beschrieben).

@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.

Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
itisnapanto
itisnapanto 18.04.2017 um 16:27:57 Uhr
Goto Top
Hmm über Putty kann man sich doch den Traffic Live anzeigen mit Quelle und Ziel samt Ports .

Vielleicht das erstmal schauen, damit man genau weiß, wer den Traffic von wo nach wo haben will .
Lochkartenstanzer
Lochkartenstanzer 18.04.2017 um 17:24:46 Uhr
Goto Top
Zitat von @ketanest112:

@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.

Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.

Aber SmartTVs machen manchmal ganz andere Sachen als das, was sie sollen. Manche sind auch mit Malware verseucht. Insbesondere Samsungs (aber auch andere9 sind davon gerne betroffen.

Also Wireshark anwerfen udn schauen, wo der Traffic wirklich hingeht.

lks
ketanest112
ketanest112 21.04.2017 um 19:49:37 Uhr
Goto Top
Laut einem Kollegen von mir Hostet Amazon teilweise die Video auch bei akamaitechnologies.

Ich habs jetzt so gelöst, dass der TV ne DHCP Reservierung erhält und für diese IP gibts ne Ausnahmeregelung für die Firewall.
Wahrscheinlich werde ich in Zukunft den TV direkt an die Fritte hängen, weil so eine Ausnahme in der Firewall ein gewisses Risiko darstellt.

Danke euch trotzem für die vielen Ideen und Vorschläge!!

Grüße
Ketanest