[7.386] IP licensing - possibly?

Yes.

I believe you can look at the proxy section of the reports to get the information you need.

Barry

Hubersan, can you try pinging or running NMAP on some of those addresses from outside your network? 

Barry

Well, sure enough, an nmap from the outside of the firewall is 'answering' on all IPs in the subnet, so that's probably why it's counting it as an IP on the licensing report.  However, if I scan on the inside, it only sees the 8 IPs that SHOULD be there.  I've been going through the config and I can't find anything that would cause the firewall to answer for everything.

Well, sure enough, an nmap from the outside of the firewall is 'answering' on all IPs in the subnet, so that's probably why it's counting it as an IP on the licensing report.  However, if I scan on the inside, it only sees the 8 IPs that SHOULD be there.  I've been going through the config and I can't find anything that would cause the firewall to answer for everything.

And, to add to the confusion, I just remembered that nmap does different things when you run as root vs a normal user.

running nmap -sP x.x.x.x/27 returns all IPs when run as root.  Man page says that it 'pings' by doing an ICMP echo request and syn packet on port 80.

running nmap -sP x.x.x.x/27 returns only 3 systems when run as joe user.  Which makes sense, since the man page says that it 'pings' by sending a syn packet on port 80, and those 3 systems are the only ones with 80 open.

So is the firewall doing some wierd ICMP proxy arp type of thing?

Ok, so I've figured why NMAP thinks they're all there, but I'm not entirely sure why it's happening.  Watching the packets, the ICMP packets are indeed dropped, but the TCP port 80 packets get a response back from that IP somehow.  It's got to be spoofed from the firewall, but I can't figure out where.

and since I seem to post before learning everything I need to, here's an example of something that shouldn't respond at all.  This is from a nmap -sP scan

12:51:08.498968 IP X.X.X.X.33235 > A.B.C.140.http: . ack 1201753921 win 1024
12:51:08.499171 IP A.B.C.140.http > X.X.X.X.33235: R 1:1(0) ack 0 win 1024

From what I can tell, the R is a connection reset.  not entirely sure why that's getting sent back.

I've tried turning off IPS in general, anti-portscan, all of the anti-dos/flooding on the IPS page.  Also tried every combination of things on the Packet Filter -> ICMP page.  Only thing turned on in the Web Security page is FTP proxy, but I've tried with that off too..  Any suggestions?

You have nothing in Masquerading or NAT, right?

Do any of the Astaro interfaces have more than one IP?

I don't have any way to test this myself on the beta, as I don't have public IPs at home.

Barry

You have nothing in Masquerading or NAT, right?

Do any of the Astaro interfaces have more than one IP?

I don't have any way to test this myself on the beta, as I don't have public IPs at home.

Barry

Nope.. no NAT or MASQ, and no extra IPs.  I also just tried proxy arp to see if that made a difference, and no dice.

Hubersan, can you please send me a backup of your configuration and a complete listing of your setup (Which nets, IP addresses, what you did etc., everything needed to reproduce the problem).

To analyze problems like this, guessing is the worst one can do. We need to make sure to measure correctly.