Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 1 reply
  • Subscribers 2 subscribers
  • Views 2071 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Proxy ARP and Spoofing ?

AndreasK
We have a setup where the DMZ is formed by a subnet of our internal network.

To make the DMZ accessible by internal machines we activated Proxy ARP on the internal interface.

This configuration works fine as long as we do not establish connections from inside our DMZ to external or internal.

In this case ASL drops the packets. Examining the rules in filter live log shows the reason: The internal network is part of the spoofing list for the DMZ interface, wich is normally correct. But in this case the internal network covers the DMZ network and the pakets get lost.

Are there any hints how to surround this issue ?

Example config:

intern eth0 192.168.1.0/24 with proxy arp
dmz    eth2 192.168.1.0/29

entries in chain SPOOF-DROP:

LOG  all -- eth2 * 192.168.1.0/24         
DROP all -- eth2 * 192.168.1.0/24


This thread was automatically locked due to age.
Parents
  • 0
    uh oh.

    You should not do this  [:)]P addresses ...

    You can use proxy ARP to "fool" your windows boxes, not to fool the ASL  [:)]

    You could easily solve this problem by using 2x /25 networks (if the LAN fits into 126 IPs), and still giving your LAN boxes /24 netmasks. Then proxy ARP will work in the intended way.

    /tom
Reply
  • 0
    uh oh.

    You should not do this  [:)]P addresses ...

    You can use proxy ARP to "fool" your windows boxes, not to fool the ASL  [:)]

    You could easily solve this problem by using 2x /25 networks (if the LAN fits into 126 IPs), and still giving your LAN boxes /24 netmasks. Then proxy ARP will work in the intended way.

    /tom
Children
No Data
Unfiltered HTML