Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 8 replies
  • Subscribers 0 subscribers
  • Views 2212 views
  • Users 0 members are here
Options
Suggested

[9.000][ANSWERED] Spoof protection

RFCat_vk_01
Hi,
sometime ago there was a post in the production forum on how to connect to an ADSL modem using a second address on the external interface. I couldn't get that setup to work, so I chose to use vlans.

the vlan setup worked except for the 20000 packets a day from the modem that were rejected.
Eventually I dropped the vlan setup and only used the second address on the external interface, This works as long as spoof protection is turned off.

I tried again with spoof protection turned on at normal level and was not able to connect to the modems. Turn spoof protection off and bingo modem connectivity returns.

Ian[[:)]][:S][[:)]]
Parents
  • 0
    I only have the additional address and DNAT rule (not a masq) configured

    It never worked for me with just a masq and not DNAT. Can you try creating a DNAT with the following settings
    source: 192.168.x.x/24
    Service: Any
    Destination: 10.99.99.1/24 (this should be the "additional" ip created on the interface connected to the modem)

    Translated Destination: Real ip of the modem

    Disable the MASQ and enable log the initial packets on the DNAT rule to view them on FW log
  • 0 in reply to wingman
    Hi Wingman,
    perhaps I didn't make it clear that the modems are in bridge mode.

    Experimentation. Found that the NAT was a waste of time, the traffic is being handled by the http proxy. Put the IP ranges in the proxy bypass and no connections with or without MASQ/DNAT.
    Using the DNAT the initial packets appear in the log, but no connection.

    So final setting that works is http proxy and spoof disabled.

    Thank your for your help.

    Ian
Reply
  • 0 in reply to wingman
    Hi Wingman,
    perhaps I didn't make it clear that the modems are in bridge mode.

    Experimentation. Found that the NAT was a waste of time, the traffic is being handled by the http proxy. Put the IP ranges in the proxy bypass and no connections with or without MASQ/DNAT.
    Using the DNAT the initial packets appear in the log, but no connection.

    So final setting that works is http proxy and spoof disabled.

    Thank your for your help.

    Ian
Children
No Data
Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?