Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 3 subscribers
  • Views 539 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

5.15 License aberant IP counting

StephaneGROBETY
Hello,

I have a class-C network behind the Astaro firewall but on that network only about 6 IPs are active. However, I got a truckload of IPs that are referenced in the IP list and that are not in use at all. 

I have the list of ALL IPs behind that firewall and I see in the log many entries that are simply not assigned to any machine, device or interface. Where do they come from ?

The whole  network is in a locked server rack with no wireless access, to entry point beside the firewall and there is no DHCP set up so I'm SURE that I have a full and accurate list of all the IPs that actually exists in the network.


This thread was automatically locked due to age.
Parents
  • 0
    The problem is probably ICMP traffic.

    Under packet filter-ICMP
    Turn OFF Firewall forwards Pings
    Also turn off:
    ICMP Forwarding
    ICMP on Firewall

    Reset the License counter, (Will reboot !)

    I had the same problem the other day when I turned on "Firewall forwards pings".
  • 0 in reply to Simon Shaw
    Thank you for your answer. I will try that.
  • 0 in reply to StephaneGROBETY
    ICMP disabled and license count reset: problem persists.

    I've checked the logs and I've found the reason of this problem: Astaro will count as a "user" any packet that goes throug the packet rule regardless of the fact that there is no machine at the ther end.

    This really is a problem fior me: for technical reasons, we weren't able to use NAT in our setup and we have a range of 256 public IPs behind the firewall. But there is, in fact, no more than 5 IPs that will ever actually require a connection going THROUGH that firewall.

    The result of this bug is that, when I get port scanned, Astaro counts as an active user EVERY IP that could potentially accpet a packet. That means that all the IPs in my DMZ (where I have a web server and a mail server) are listed as a user even though there is only two real IPs behind these.

    Now, I can fine-tune my setting to list every individual machine that will ever need to connect through the firewall and create a specifi rule for each protocol/machine but this would make the whole thing nearly unmanageable.

    Help!
  • 0 in reply to StephaneGROBETY
    Hrm, I have a similar setup and it's not happening to me at the moment.  I've had that occur in the past but am unsure what stopped the problem.

    I'm willing to have a look at your system if you want.  Email me privately at sss@micromine.com.au if you are interested.  I'll have a closer look at my config later and report back as well.

    (I have a Class C on my DMZ but, like you, only use a small number of actual IP addresses).
Reply
  • 0 in reply to StephaneGROBETY
    Hrm, I have a similar setup and it's not happening to me at the moment.  I've had that occur in the past but am unsure what stopped the problem.

    I'm willing to have a look at your system if you want.  Email me privately at sss@micromine.com.au if you are interested.  I'll have a closer look at my config later and report back as well.

    (I have a Class C on my DMZ but, like you, only use a small number of actual IP addresses).
Children
  • 0 in reply to Simon Shaw
    Ok, I went to the bottom of the problem: IP counting in Astaro is really buged.

    I have verified this on a second install and I can confirm that it will count as "active user" any IP that  is listed in one of it's known networks and that has an "allow" packet filter rule.

    As a direct result, if you're listing routable IPs in your network list, anything that goes through will count as an "active user" and easte a license.

    Consequences:
    - Don't use ICMP. The first portscan will add all valid IPs Astaro knows about to license count, regardless of the fact that nbo machine is there.
    - Don't use segment rules for accepting connections: DMZ-wide rules are out of the question. Create a separate host entry for all public server and a separate packet filter rule for all host/service that you want to expose to the net.
    - Be extra careful with UDP rules: as much as possible, limit the number of  UDP rule to a bare minimum and, if possible, list all machines that are allowed through explicitely. This includes DNS.