FIrewall Webfilter produziert extrem hohen Traffic
Hallo zusammen,
ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.
Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.
Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).
Danke schonmal!
Grüße
Ketanest
EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...
ich hab ne Sophos UTM 9 Home laufen.
Bisher hat alles soweit super funktioniert.
Nun habe ich seit heute Abend eine maximale Dauerauslastung auf meinem WAN Interface eingehend (Sprich, die Leitung ist "dicht").
Auf dem LAN Interface gibts aber kaum ausgehenden Traffic. Daher schließe ich, dass die Sophos den Traffic lokal generiert.
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert (50k Leitung). Und das dauerhaft. In der letzten Stunde hat sich dadurch mein Volumen mal eben um 22 GB erhöht. Gut, is ne Flatrate, daher nicht so wild aber komisch ist es schon.
Verändert an der Konfig hab ich seit Wochen nichts mehr.
Wenn ich mir den Flow Monitor aller Interfaces ansehe, erkenne ich, dass die WAN Adresse der Sophos diesen Traffic produziert.
*.deploy.static.akamaitechnologies.com ist immer das Suffix der zugehörigen DNS Namen. (zB. a23-74-201-131.deploy.static.akamaitechnologies.com)
Oder auch gelegentlich direkt IP Adressen, wie z.B. 8.254.200.90 oder 8.253.81.13.
Ein utrace auf die IP bringt mir nur ein "Level 3 Communications" in den USA.
Auch in der Statistik sehe ich als Empfänger für den Traffic die lokale Adresse der Sophos.
Schalte ich nun den Webfilter aus, geht der Traffic schlagartig auf nahezu 0 runter.
Könnt ihr mir hier evtl. weiterhelfen wie ich das abschalten kann? Denn ich habe eigentlich keine Lust den Webfilter auszulassen, ist ja auch nicht Sinn der Sache.
Ok, jetzt wo ich fertig bin mit schreiben, geht der Traffic wieder ins normale zurück (ohne dass ich was verändert habe, Webfilter ist an).
Updates wurden von Clients nicht gezogen, von der Sophos eigentlich auch nicht (zumindest haben keine 25 GB mehr auf der Platte platz).
Danke schonmal!
Grüße
Ketanest
EDIT: Mir ist aufgefallen, dass das immer dann passiert, wenn ich auf dem Smart TV versuche, ein Video in der Amazon App abzuspielen. Ausnahmeregel für Amazon ist aber im Webfilter eingetragen (hat bisher aber auch ohne funktioniert). Wenn ich aber die App beende und den TV ausmache bleibt der Traffic relativ lange hoch... Komischerweise nur beim TV übers MacBook und die Website gehts...
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 335348
Url: https://administrator.de/forum/firewall-webfilter-produziert-extrem-hohen-traffic-335348.html
Ausgedruckt am: 22.12.2024 um 07:12 Uhr
22 Kommentare
Neuester Kommentar
Go to Web Protection> Filter Option> Misc> Web Caching. Clear cache and uncheck the "enable caching" option.
Https Traffic wird die wohl kaum aufbrechen, außer man nutzt DPI.
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
https://community.sophos.com/products/unified-threat-management/f/web-pr ...
Ja, eben, Traffic schießt nur hoch, wenn Seite = Amazon Video UND Client = Smart TV.
Das ist nicht zufaellig ein 4K-Smart-TV und die Amazon-Videos auch?
Obwohl FullHD schon reicht um ein paar GByte zusammen zu bringen.
Vorhin hieß es Win10, du sprichst hier nun von WinX.
Ist schlicht gleich, 10 oder (roemisch) X
BFF
Zitat von @BassFishFox:
Ist schlicht gleich, 10 oder (roemisch) X
BFF
danke...Vorhin hieß es Win10, du sprichst hier nun von WinX.
Ist schlicht gleich, 10 oder (roemisch) X
BFF
Und das auf nen Ostermontag.
Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?
Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?
BFF
Was ich verpennt hatte zu erwähnen: Beim TV kommt halt nix an. Der sagt mir, dass meine Bandbreite zu niedrig wäre und er deshalb das Video nicht abspielen kann. Surfen ist dann auch nur noch bedingt möglich, da Leitug dicht.
Deine UTM baut Bockmist. Geht das Surfen, wenn Du einen PC direkt an die Fritte haengst?
Ist die UTM harte Hardware oder eine virtuelles Teil auf einem Deiner Server?
BFF
Moin,
Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.
Das ist ein fehlkonfigurierter Malware-Scanner.
Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.
lks
Dein UTM will as Video auf Malware untersuchen und holt sich erst das Video herunter, bevor es an das TV weitergeleitet wird.
Das ist ein fehlkonfigurierter Malware-Scanner.
Du mußt entweder den Malwarescan für Videos abstellen oder Deiner UTM sagen, daß sie mit höherer Rate die gecachten Pakete weiterleitet.
lks
Hier wird in 5 Minuten ein Traffic von knapp 2GB generiert
Spannend wäre ja mal eine Information WAS das für eine Art Traffic ist. Mit dem Wireshark könnte man sowas im Handumdrehen ja sehen und dann schon anhand der Zieladressen der Pakete und des TCP/UDP Ports eine Analyse fahren um was es sich handelt und wo im Internet das hingeht. Also ob es eher gut oder böse ist.Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
Zitat von @aqui:
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
Verwunderlich das der TO auf so eine einfache und banale Toubleshooting Option noch gar nicht gekommen ist und lieber zum Raten im freien Fall tendiert...
nachdem er gesagt hat, daß das imemr dann der Fall ist, wenn das Supder-Duper-Hochauflösende-SmartTV ebensoche Videos gucken will, sagt meien Kristallkugel, daß es einafch der contentfilter in der UTM ist, dr dei daten solange nur tröpfchenweise zum SmartTV läßt, bis er den gesammten content gezogen und verifiziert hat. Dann denkt sich halt das schlaue TV so ein Schiet-Verbindung und beschwert sich über lahmes Internet und das UTM denkt sich so ein Schiet-TV, will wieder so einen Riesenbrocken, dann muß er halt warten, bis ich die 50GB gezogen habe. Dieses Verhalten ist typisch für proxies mit Contentfilter, die die daten erst dann rausrücken, wenn sie gescannt wurden.
lks
Zitat von @ketanest112:
@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.
Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
@Lochkartenstanzer: Wie ich schon beschrieben habe: eine Ausnahmeregel für Amazon ist in der Firewall bereits definiert und auch der Filter für Streaming und Videodienste ist abgeschaltet.
Im Webfilter habe ich auch den Scan für Dateien größer 50 MB deaktiviert.
Aber SmartTVs machen manchmal ganz andere Sachen als das, was sie sollen. Manche sind auch mit Malware verseucht. Insbesondere Samsungs (aber auch andere9 sind davon gerne betroffen.
Also Wireshark anwerfen udn schauen, wo der Traffic wirklich hingeht.
lks