Thread Info
  • State Not Answered
  • Replies 12 replies
  • Subscribers 0 subscribers
  • Views 1772 views
  • Users 0 members are here
Options
Suggested

[8.161][BUG][FIXED] Spoof protection still broken

RFCat_vk_01
Hi,
I am only able to enter this bug report because I had an existing connection. New connections fail.
I am connected to the ASG with the webadmin open, but I can't make any changes. I change main menu tabs, but not any of the sub tabs, which means I cannot remove the setting for spoof protection even though the webadmin shows it as being set to off.

Ian M[:S]

I will reverse the change when I get to work and can access the ASG remotely.

At least this time it doesn't time out, it just advises done when changing menu items, but doesn't change.
Parents
  • 0
    Okay, then please let me know as soon as you have any feedback.

    Thanks again,
    Kai
  • 0 in reply to kbr
    I was feeling brave so I went ahead and tried this. At spoof protection set to normal, everything works fine but at high setting all connectivity is lost but my webadmin session is still active and I can even start a new session from a different PC. 

    A quick look at packet filter log shows that all requests are tagged as spoofed packets.

    Regards
    Bill.
  • 0 in reply to Billybob
    Hi Kia,
    at last a humanoid has been able to tell me that the internet is working.

    I will run through some more tests similar to Billybob's when I get home tonight.

    I can remote into the external interface over a wireless link if need be.

    Regards

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,

    Could you please post output of:
    $ ip addr s

    and an example packetfilter.log line from a spoof-protection dropped packet?
    (from the time period where strict spoof protection was enabled? )

    If you are really brave, could you also provide output.txt of command
    "iptables-save -c -t raw | tee output.txt"
    When you set you asg to "strict spoof protection"?

    If you do not have console access without ssh, you could probably avoid cutting off your internet access by doing something like this (as root) :

    1, log in via ssh
    2. create a backup:
    $ backup.plx -o /root/tmp.abf
    3. schedule iptables-save to run in one minute:
    echo 'iptables-save -c -t raw > /root/ipt-save.txt' | at +1 minute
    4. schedule restore to run in one minute:
    echo 'backup.plx -i -r /root/tmp.abf' | at +1 minute
    5. change spoof protection to strict in webadmin

    The old backup will be restored after one minute.

    (you can check if the command is scheduled by running the command "atq".
     you'll see a line with your scheduled job, and an id number to the left.
     you can then run "at -c IDNUMBER" to view what command will be run).

    You could also dry-test this by making a harmless change in webadmin (e.g.
    by creating some packetfilter rule), and then checking that the rule vanishes
    after a minute.
Reply
  • 0 in reply to RFCat_vk_01
    Hi,

    Could you please post output of:
    $ ip addr s

    and an example packetfilter.log line from a spoof-protection dropped packet?
    (from the time period where strict spoof protection was enabled? )

    If you are really brave, could you also provide output.txt of command
    "iptables-save -c -t raw | tee output.txt"
    When you set you asg to "strict spoof protection"?

    If you do not have console access without ssh, you could probably avoid cutting off your internet access by doing something like this (as root) :

    1, log in via ssh
    2. create a backup:
    $ backup.plx -o /root/tmp.abf
    3. schedule iptables-save to run in one minute:
    echo 'iptables-save -c -t raw > /root/ipt-save.txt' | at +1 minute
    4. schedule restore to run in one minute:
    echo 'backup.plx -i -r /root/tmp.abf' | at +1 minute
    5. change spoof protection to strict in webadmin

    The old backup will be restored after one minute.

    (you can check if the command is scheduled by running the command "atq".
     you'll see a line with your scheduled job, and an id number to the left.
     you can then run "at -c IDNUMBER" to view what command will be run).

    You could also dry-test this by making a harmless change in webadmin (e.g.
    by creating some packetfilter rule), and then checking that the rule vanishes
    after a minute.
Children
  • 0 in reply to 67ef1d
    Hi,
    I haven't run your tests yet, that will be done shortly. I do have an update though. This morning (AU time) I turned on normal spoof protection using the external interface and found the following:-
    1/. windows 7 64 using IPv6
    a/. outlook connects and downloads
    b/. IE and FF fail to connect both use home page of ipv6.google.com
    c/ itunes won't start

    2/. Vista 32
    a/ connects using IPv4 to Google and www.astaro.org

    3/. Mandriva server 64 using IPv4
    a/ connects to update server and downloads updates
    b/. connects to various websites

    Reset spoof checking to off and W7 64 with IPv6 connects,

    Ian M
  • 0 in reply to RFCat_vk_01
    Hi,
    a interesting exercise in how to get files off the ASG.

    Attached are the files you requested.

    I was able to set spoof to strict from the W7 64 PC, and reset spoof to off using Mandriva 64 server. Interestingly the external link was shown as down, but not disconnected.

    All the time the putty connection worked.

    Ian M
    output1.zip
Cookie Information Banner