Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 7 replies
  • Subscribers 3 subscribers
  • Views 690 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Astaro 5.23 STILL counting non-existing machines

StephaneGROBETY
As I have noted in previous threads, Astaro license counting is rather... trigger happy. Once I understood what it did (any IP in a packet that was allowed through not being routed to the default route would be counted) I thought I could create new rules that wouldsolve the problem (by creating rules for individual machines rather than IP range) but it seems it's still not the case.

After running for three weeks without too much problem, the license list is once again "poluted" with non-existing IPs (these are public IPs that aren't assigned to any phisical or virtual interface in the network). These IPs all have been "visible" for a single second: the "first seen" and "last seen" timestamps are the same.

The worse part is that I now have no clue as to what causes these IPs to be listed: all the ALLOW rules in the packet filter now are machine-specific and thes IPs show up nowhere. There is no DHCP on that network, no possibly external entry point and everything is in a locked server rack in a high-security enclosure: there is no way any machine could have been connected and could have used one of the ghosts IPs. 

Another puzzling point is that only a few IPs are listed: I would have thought that if this was the result of a network scan, the whole range would have been added (that's what happen if I enable ICMP through the firewall)

What 's happening ?


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    we have the same problem. We have a new public IP range (32 Adresses) for our pubic server network. The only used IP at the moment is the IP for the ASL Box, but after two days the license IP count is exeeded (25 "User licece"). Is there any solution to this? Must I disable ICMP forwarding and then create a special rule for each box which I connect?
    What to do?

    Dirk
Reply
  • 0
    Hi,

    we have the same problem. We have a new public IP range (32 Adresses) for our pubic server network. The only used IP at the moment is the IP for the ASL Box, but after two days the license IP count is exeeded (25 "User licece"). Is there any solution to this? Must I disable ICMP forwarding and then create a special rule for each box which I connect?
    What to do?

    Dirk
Children
  • 0 in reply to dwagner
    Hi dwagner,

    Yes, this is a known issue: Astaro will count a user licesence for every packet that goes thgough, wether or not there is a mchine at the other end. That means that you MUST disable all ICMP (including traceroute and pings) and that you must craft a specific machine rule for each machine that can be accessed from the outside.

    I'm not sure if this applies to  outgoing rules as well (does Astaro uses a license when it receives a SYN-ACK for an IP that didn'ts send a SYN on a protocol with outgoing connections allowed ? I don't think so, otherwise it's not doign stateful inspection). But I'm sure it applies to incomming rules (if you have a mail server, create an incomming conection rule for this IP only, not for the network.  Otherwsise, the first spammer looking for an open relay will putt all your IPs in the license list.