<div dir="ltr">On Thu, Apr 11, 2019 at 7:15 AM Patrick McEvilly <<a href="mailto:patrick_mcevilly@harvard.edu">patrick_mcevilly@harvard.edu</a>> wrote:<br>> I'm working with Level3 on a similar problem.  They filter both UDP and TCP port 1900 on our peer to them.  This is blocking all connections that randomly use ephemeral tcp port 1900.<br>><br>> They are refusing to remove the tcp port 1900 filter without dispensation from the DDoS security gods. I understand blocking UDP 1900, what is the purpose of Level3 filtering tcp port 1900?  <br><br>Hi Patrick,<div><br>I ran in to this years ago with the NIPR to Internet gateway at Pearl. They were filtering about 100 TCP ports in the 1024 to 5000 range because they were commonly used for malware C&C. They insisted they were only blocking destination ports... Didn't quite get the concept that the source port on a packet traveling one way becomes the destination port on the return packet, or that 1024 to 5000 were common ephemeral source ports for both Windows and a number of firewall products. The idea of filtering only on syn-not-ack packets also failed to make contact in their craniums.</div><div><br></div><div>Good luck with Level3. The folks at Pearl still hadn't figured it out years later when I changed jobs.</div><div><br></div><div>Regards,</div><div>Bill Herrin</div><div><br> -- <br><div dir="ltr" class="gmail_signature">William Herrin ................ <a href="mailto:herrin@dirtside.com" target="_blank">herrin@dirtside.com</a>  <a href="mailto:bill@herrin.us" target="_blank">bill@herrin.us</a><br>Dirtside Systems ......... Web: <<a href="http://www.dirtside.com/" target="_blank">http://www.dirtside.com/</a>></div></div></div>