[7.386] IP licensing - possibly?

[:S]

I don't remember from 7.3 how often it checks, but I've noticed that on the beta, I have NO IP's listed on the licensing page, even though I know there's multiple connections...
Parents
  • IIRC, It's supposed to update every night, unless you have an unlimited license.

    Barry
  • I've seen the same thing with the licensing daemon on production systems... so long as it doesn't stop things from working, it's no big deal... not sure why it doesn't work on some systems, though.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • Hi Barry, 

    Please check the accounting reporting and search for an ip address which is counted outside of the scope and which you think should not be in there. 
    What does it say?

    Normally we only count flows that passed the device and packets have been sent in both directions. 

    regards
    Gert


    On mine, it's listing every IP in my subnet, including the 'zero' subnet IP and broadcast IPs.  There's absolutely nothing on 20 of the 31 IPs, so there should be nothing to return a packet from.
  • Hubersan, can you try pinging or running NMAP on some of those addresses from outside your network? 

    Barry
  • So on
    Reporting -> Network Usage -> Accounting -> Top Clients
    there should only be clients from any LAN "behind" ASG? Because my test-systems lists dozens of forreign IPs including 0.0.0.0 and the ASG's external IP-address.

    I just checked and it's like this on almost every ASG I manage.
    BTW: The Top-Client #1 is always the ASG's external address. That's been bothering me for a while now.

    What's the sense behind this, I can't see it.
  • DiePlage, if you're using the proxies, Astaro will be a busy client.

    Barry
  • I now have another nonsense IP showing up in my licensing on 7.390:
    10.0.0.14
    That would be on my DMZ network, but I don't have anything with that IP, and in fact, my only server (10.0.0.10) has not been on for awhile.

    I have no idea where this is coming from; I didn't nmap that address (I did nmap 10.0.0.0/30 which would not have gone that high).

    Gert, I know you want me to check my accounting, but I can't as it appears my computer is too slow.
    Regardless, neither IP is in the weekly or daily exec reports.

    Thanks,
    Barry
  • DiePlage, if you're using the proxies, Astaro will be a busy client.

    Barry


    I see.

    So if Client A requests a http-website through the http-proxy than this traffic is added to the account of the ASG rather than to that of Client A?

    Technically speaking I see the logic behind it but on the other hand that's not the information I want (especially when I'm an executive :-)

    Maybe I'll add that to the wishlist for the next version...
  • Yes.

    I believe you can look at the proxy section of the reports to get the information you need.

    Barry
  • Hubersan, can you try pinging or running NMAP on some of those addresses from outside your network? 

    Barry


    Well, sure enough, an nmap from the outside of the firewall is 'answering' on all IPs in the subnet, so that's probably why it's counting it as an IP on the licensing report.  However, if I scan on the inside, it only sees the 8 IPs that SHOULD be there.  I've been going through the config and I can't find anything that would cause the firewall to answer for everything.
  • Well, sure enough, an nmap from the outside of the firewall is 'answering' on all IPs in the subnet, so that's probably why it's counting it as an IP on the licensing report.  However, if I scan on the inside, it only sees the 8 IPs that SHOULD be there.  I've been going through the config and I can't find anything that would cause the firewall to answer for everything.


    And, to add to the confusion, I just remembered that nmap does different things when you run as root vs a normal user.

    running nmap -sP x.x.x.x/27 returns all IPs when run as root.  Man page says that it 'pings' by doing an ICMP echo request and syn packet on port 80.

    running nmap -sP x.x.x.x/27 returns only 3 systems when run as joe user.  Which makes sense, since the man page says that it 'pings' by sending a syn packet on port 80, and those 3 systems are the only ones with 80 open.

    So is the firewall doing some wierd ICMP proxy arp type of thing?
  • Ok, so I've figured why NMAP thinks they're all there, but I'm not entirely sure why it's happening.  Watching the packets, the ICMP packets are indeed dropped, but the TCP port 80 packets get a response back from that IP somehow.  It's got to be spoofed from the firewall, but I can't figure out where.

    and since I seem to post before learning everything I need to, here's an example of something that shouldn't respond at all.  This is from a nmap -sP scan

    12:51:08.498968 IP X.X.X.X.33235 > A.B.C.140.http: . ack 1201753921 win 1024
    12:51:08.499171 IP A.B.C.140.http > X.X.X.X.33235: R 1:1(0) ack 0 win 1024

    From what I can tell, the R is a connection reset.  not entirely sure why that's getting sent back.

    I've tried turning off IPS in general, anti-portscan, all of the anti-dos/flooding on the IPS page.  Also tried every combination of things on the Packet Filter -> ICMP page.  Only thing turned on in the Web Security page is FTP proxy, but I've tried with that off too..  Any suggestions?
Reply
  • Ok, so I've figured why NMAP thinks they're all there, but I'm not entirely sure why it's happening.  Watching the packets, the ICMP packets are indeed dropped, but the TCP port 80 packets get a response back from that IP somehow.  It's got to be spoofed from the firewall, but I can't figure out where.

    and since I seem to post before learning everything I need to, here's an example of something that shouldn't respond at all.  This is from a nmap -sP scan

    12:51:08.498968 IP X.X.X.X.33235 > A.B.C.140.http: . ack 1201753921 win 1024
    12:51:08.499171 IP A.B.C.140.http > X.X.X.X.33235: R 1:1(0) ack 0 win 1024

    From what I can tell, the R is a connection reset.  not entirely sure why that's getting sent back.

    I've tried turning off IPS in general, anti-portscan, all of the anti-dos/flooding on the IPS page.  Also tried every combination of things on the Packet Filter -> ICMP page.  Only thing turned on in the Web Security page is FTP proxy, but I've tried with that off too..  Any suggestions?
Children