Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 1771 views
  • Users 0 members are here
Options
Suggested

[8.161][BUG][FIXED] Spoof protection still broken

RFCat_vk_01
Hi,
I am only able to enter this bug report because I had an existing connection. New connections fail.
I am connected to the ASG with the webadmin open, but I can't make any changes. I change main menu tabs, but not any of the sub tabs, which means I cannot remove the setting for spoof protection even though the webadmin shows it as being set to off.

Ian M[:S]

I will reverse the change when I get to work and can access the ASG remotely.

At least this time it doesn't time out, it just advises done when changing menu items, but doesn't change.
  • 0 
    Astaro Beta Report

    --------------------------------

    Version: 8.161

    Type: BUG

    State: TESTED/FIXED

    Reporter: RFCat_vk+++

    Contributor: Billybob

    MantisID: 17221

    Target version: 8.162

    Fixed in version: 8.162

    --------------------------------
  • 0
    What exactly did you do to get into this situation?
  • 0 in reply to kbr
    Hi,
    I had the PC running with mail open and downloading. I started up a FF session to the Astaro forum. Downloaded the v8.161 to the PC, installed it on the ASG, waited until the ASG had finished its unannounced restart. I have changed the spoof setting back to off remotely.

    Reconnected to the ASG, changed the spoof setting from off to normal, ASG displayed the network settings change had been saved and then things slowed down. I was not able to actually leave the security page, even though the main menu tabs would display - the existng connection would show done without errors.

    I was able to create bug report, I should have used the existing 8.160 but the internet became so slow searching was not an option.

    Mail still worked or at least it didn't give any error messages, but trying to establish a new webpage either to ipv6.google.com or the ASG both timed out.

    Anything else you think I should add.

    Ian M
  • 0
    Thanks Ian, that report is really helpful. One more question: does it work again for you if you switch the spoof protection 'off' again?

    Kai
  • 0 in reply to kbr
    Hi Kai,
    I can't tell at this stage the house is still asleep. I can see 1 i-phone connected, but I have not received any complaints yet.

    Regards

    Ian M
  • 0
    Okay, then please let me know as soon as you have any feedback.

    Thanks again,
    Kai
  • 0 in reply to kbr
    I was feeling brave so I went ahead and tried this. At spoof protection set to normal, everything works fine but at high setting all connectivity is lost but my webadmin session is still active and I can even start a new session from a different PC. 

    A quick look at packet filter log shows that all requests are tagged as spoofed packets.

    Regards
    Bill.
  • 0 in reply to Billybob
    Hi Kia,
    at last a humanoid has been able to tell me that the internet is working.

    I will run through some more tests similar to Billybob's when I get home tonight.

    I can remote into the external interface over a wireless link if need be.

    Regards

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,

    Could you please post output of:
    $ ip addr s

    and an example packetfilter.log line from a spoof-protection dropped packet?
    (from the time period where strict spoof protection was enabled? )

    If you are really brave, could you also provide output.txt of command
    "iptables-save -c -t raw | tee output.txt"
    When you set you asg to "strict spoof protection"?

    If you do not have console access without ssh, you could probably avoid cutting off your internet access by doing something like this (as root) :

    1, log in via ssh
    2. create a backup:
    $ backup.plx -o /root/tmp.abf
    3. schedule iptables-save to run in one minute:
    echo 'iptables-save -c -t raw > /root/ipt-save.txt' | at +1 minute
    4. schedule restore to run in one minute:
    echo 'backup.plx -i -r /root/tmp.abf' | at +1 minute
    5. change spoof protection to strict in webadmin

    The old backup will be restored after one minute.

    (you can check if the command is scheduled by running the command "atq".
     you'll see a line with your scheduled job, and an id number to the left.
     you can then run "at -c IDNUMBER" to view what command will be run).

    You could also dry-test this by making a harmless change in webadmin (e.g.
    by creating some packetfilter rule), and then checking that the rule vanishes
    after a minute.
  • 0 in reply to 67ef1d
    Hi,
    I haven't run your tests yet, that will be done shortly. I do have an update though. This morning (AU time) I turned on normal spoof protection using the external interface and found the following:-
    1/. windows 7 64 using IPv6
    a/. outlook connects and downloads
    b/. IE and FF fail to connect both use home page of ipv6.google.com
    c/ itunes won't start

    2/. Vista 32
    a/ connects using IPv4 to Google and www.astaro.org

    3/. Mandriva server 64 using IPv4
    a/ connects to update server and downloads updates
    b/. connects to various websites

    Reset spoof checking to off and W7 64 with IPv6 connects,

    Ian M
Cookie Information Banner