Apr 16, 2017, updated at 20:03:01 (UTC)

4625

FIrewall Webfilter produziert extrem hohen Traffic

Hallo zusammen,

ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.

Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.

Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).

Danke schonmal!
Grüße
Ketanest

EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...

Please also mark the comments that contributed to the solution of the article

Content-Key: 335348

Url: https://administrator.de/contentid/335348

Printed on: April 19, 2024 at 10:04 o'clock

22 Comments

Latest comment

Hallo,

Windows 10 Rechner im Netzwerk? Stichwort Creators Update, das kommt so und nicht unbedingt mit den regulaeren Updates.

BFF

Ja, einen.
Aber was ich eben nicht verstehe, ist, warum der Traffic von der Firewall generiert wird und nicht vom Client...

Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.

Sind aber keine 20-25G

Halloele,

Oh doch, wenn die Clients alle fuer sich allein das Upgrade holen wollen und es fuer die UTM so aussieht, dass die Downloadquellen sich immer aendern. Vor kurzen sehen duerfen bei einem wild gewordenen Update Accelerator auf einer IPFire-Box.

BFF

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.

Halloele,

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben?

Ja schon. Das ist eigentlich per default von MS so eingestellt. Allerdings wurde genau diese Einstellung bewusst in der Umgebung mit der IPFire-Box deaktiviert, weil die ja den Accelerator hatte.

BFF

Zitat von @falscher-sperrstatus:

Nennt sich Caching - würde darauf tippen - oder, du hast dir irgendwas AUF der UTM eingefangen. Würde aber nicht zur Symptomatik passen.

Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.

Zitat von @falscher-sperrstatus:

Sind aber keine 20-25G

WIe meinst du das? Also meine FritzBox sagt mir, dass in etwa 22 GB Traffic generiert wurden in dieser besagten Stunde.

Zitat von @falscher-sperrstatus:

(ungetestet) dafür sollten die Clients sich das doch gegenseitig zuschieben? Gut, die Nachricht, dass es nur einen WinX gibt kam erst später, also alles gut.

Vorhin hieß es Win10, du sprichst hier nun von WinX. Win10 gibt es nur einen Client im Netz, es gibt jedoch 3 Win Server 2012 R2 (DC, Exchange und Terminalserver). Hier sind aber alle Updates aktuell.

Go to Web Protection> Filter Option> Misc> Web Caching. Clear cache and uncheck the "enable caching" option.

Danke, aber der Cache war nie an. Habe ihn auch schon mehrfach geleert.
Auch die Option Streaming Inhalte nicht scannen ist aktiviert.

Thankyou, but the cache has never been enabled. Iv'e cleared it multiple already.
The option do not scan streaming contents is also disabled.

Https Traffic wird die wohl kaum aufbrechen, außer man nutzt DPI.
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...

Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.

Das ist nicht zufaellig ein 4K-Smart-TV und die Amazon-Videos auch?
Obwohl FullHD schon reicht um ein paar GByte zusammen zu bringen.

Vorhin hieß es Win10, du sprichst hier nun von WinX.

Ist schlicht gleich, 10 oder (roemisch) X

BFF

Zitat von @BassFishFox:

Vorhin hieß es Win10, du sprichst hier nun von WinX.

Ist schlicht gleich, 10 oder (roemisch) X

BFF

danke...

Ok, das mit dem WinX hätt ich mir auch denken könne

Ist ein Full HD TV, die Videos auch. Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.

Ketanest

Und das auf nen Ostermontag.

Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.

Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?

Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?

BFF

Moin,

Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.

Das ist ein fehlkonfigurierter Malware-Scanner.

Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.

lks

Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert

Spannend wäre ja mal eine Information WAS das für eine Art Traffic ist. Mit dem Wireshark könnte man sowas im Handumdrehen ja sehen und dann schon anhand der Zieladressen der Pakete und des TCP/UDP Ports eine Analyse fahren um was es sich handelt und wo im Internet das hingeht. Also ob es eher gut oder böse ist.
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...

Zitat von @aqui:

Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...

nachdem er gesagt hat, daß das imemr dann der Fall ist, wenn das Supder-Duper-Hochauflösende-SmartTV ebensoche Videos gucken will, sagt meien Kristallkugel, daß es einafch der contentfilter in der UTM ist, dr dei daten solange nur tröpfchenweise zum SmartTV läßt, bis er den gesammten content gezogen und verifiziert hat. Dann denkt sich halt das schlaue TV so ein Schiet-Verbindung und beschwert sich über lahmes Internet und das UTM denkt sich so ein Schiet-TV, will wieder so einen Riesenbrocken, dann muß er halt warten, bis ich die 50GB gezogen habe. Dieses Verhalten ist typisch für proxies mit Contentfilter, die die daten erst dann rausrücken, wenn sie gescannt wurden.

lks

@bff: Ja, direkt an der Fritte gehts (wie gesagt auch ohne Webfilter mit Firewall). Die UTM ist eine VM auf meinem VM Host mit dedizierter 4-Port-Netzwerkkarte (PCI-Passthrough).

@aqui: Sorry, hatte ich vergessen: ist HTTP-Traffic. Zieladresse: WAN-Port von der UTM (wie bereits beschrieben).

@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.

Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.

Hmm über Putty kann man sich doch den Traffic Live anzeigen mit Quelle und Ziel samt Ports .

Vielleicht das erstmal schauen, damit man genau weiß, wer den Traffic von wo nach wo haben will .

Zitat von @ketanest112:

@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.

Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.

Aber SmartTVs machen manchmal ganz andere Sachen als das, was sie sollen. Manche sind auch mit Malware verseucht. Insbesondere Samsungs (aber auch andere9 sind davon gerne betroffen.

Also Wireshark anwerfen udn schauen, wo der Traffic wirklich hingeht.

lks

Laut einem Kollegen von mir Hostet Amazon teilweise die Video auch bei akamaitechnologies.

Ich habs jetzt so gelöst, dass der TV ne DHCP Reservierung erhält und für diese IP gibts ne Ausnahmeregelung für die Firewall.
Wahrscheinlich werde ich in Zukunft den TV direkt an die Fritte hängen, weil so eine Ausnahme in der Firewall ein gewisses Risiko darstellt.

Danke euch trotzem für die vielen Ideen und Vorschläge!!

Grüße
Ketanest

German solved Question Routers, Routing Networks

Hotly discussed

Check of ZFW Firewallgleixnerd - 3 Comments

How to set up and configure a Linux GRE tunnelAlexWisha - 3 Comments

WIREGUARD VPN ON UDM PRO BEHIND FRITZBOX - HANDSHAKE DID NOT COMPLETEjstricker - 3 Comments

End of Support dates for Office 2016, 2019 Apps und Productivity ServersDani - 1 Comment