Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 17009 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

14k connections!!!! Started with new DMZ, HEEEELP!

MidgetmanUK
Hi people,

I have been searching the forums high and low for hours now, to see what the heck is going on. I haven't had any luck.   [:S]

OK. At midnight last night, I started using the DMZ for the first time. Before this, All I had been using was the internal network (7 client machines, 1 astaro router... the normal stuff). I wanted to get a server in the DMZ to run some services like ftp, psybnc, and teamspeak.

All went well. The server goes straight into the DMZ NIC, with a crossover cable. Rather than tell you what I ADDED to the packet filter/NAT/masq rules, I'll give the whole lot, just incase I've done something really stupid.

Sorry for the length.

=====================================================
NAT/Masquarading
================
Name: DMZ
Rule Type: Masquarading
Network: DMZ_Interface_Network__
Interface: Cable_Modem

Name: DMZ_Internal_Access
Rule Type: Masquarading
Network: Internal_Network__
Interface: DMZ_Interface

Name: DMZ_NAT
Rule Type: DNAT/SNAT
Source Address: DMZ_Interface_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: :: MASQ on 'Cable_Modem' ::
Change destination to: :: No Change ::

Name: DMZ_NAT2
Rule Type: DNAT/SNAT
Source Address: Cable_Modem_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: :: MASQ on 'DMZ_Interface' ::
Change destination to: :: No Change ::

Name: EXODUS-TS
Rule Type: DNAT/SNAT
Source Address: Any
Destination Address: Cable_Modem_Interface__
Service: EXODUS-TS2
Change source to: :: No Change ::
Change destination to: EXODUS
Service destination: EXODUS-TS2

Name: FTP
Rule Type: DNAT/SNAT
Source Address: Any
Destination Address: Cable_Modem_Interface__
Service: FTP
Change source to: :: No Change ::
Change destination to: EXODUS
Service destination: FTP

Name: FTP-RANGE
Rule Type: DNAT/SNAT
Source Address: Any
Destination Address: Cable_Modem_Interface__
Service: FTP-PASV-RANGE
Change source to: :: No Change ::
Change destination to: EXODUS
Service destination: FTP-PASV-RANGE

Name: LAN
Rule Type: Masquarading
Network: Internal_Network__
Interface: Cable_Modem

Name: LAN-NAT
Rule Type: DNAT/SNAT
Source Address: Internal_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: Cable_Modem_Interface__
Change destination to: :: No Change ::
Service destination: :: No Change ::

Name: LAN-NAT2
Rule Type: DNAT/SNAT
Source Address: Cable_Modem_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: :: MASQ on 'Internal' ::
Change destination to: :: No Change ::

Static routes
=============
:: no additional static routes defined ::

Packet Fileter
==============
From: Cable_Modem_Network__
To: Internal_Network
Service: service_135
Action: Drop

From: Internal_Network__
To: Any
Service: Any
Action: Allow

From: DMZ_Interface_Network__
To: Any
Service: Any
Action: Allow

From: Any
To: Any
Service: FTP
Action: Allow

From: Internal_Network__
To: DMZ_Interface_Network__
Service: Any
Action: Allow

From: Any
To: Any
Service: FTP-PASV-RANGE
Action: Allow

From: Any
To: Any
Service: EXODUS-TS2
Action: Allow

From: Cable_Modem_Network__
To: DMZ_Interface_Network__
Service: Any
Action: Allow

=====================================================

For reference, EXODUS is my server on the DMZ. For example, the service EXODUS-TS2 is the TeamSpeak2 service port. I still haven't got that one working actually  [:S]

Righty. The problem. Looking at my reports on the Astaro box, around the time the DMZ was activated, the connections just went MENTAL. We have never really had more than 1000 connections. It used to average at about 210. Now, we have a constant number of connections of 14000 ish. Obviously this value changes, but its worrying me. Nobody on the internal network could possibly be doing this. 

The actual machine is an old Compaq 850R - P200MMX, 196MB Ram. I'm not using proxies, and the cpu usage used to be about 25%. Now its just over 50%. This makes sense since its working for two networks rather than one, but I can't look at connection tracking or anything.

I think I may have defined a loop somewhere in the NAT? So that connections are being sent round in an endless route?  [:S]

Any help would be greatly appreciated.

MidgetmanUK

P.S As you may have figured, I don't exactly know what I'm doing. I think I bodged up the Masquarading definitions  [:$]  


This thread was automatically locked due to age.
Parents
  • 0
    The previous rules/NAT you had looks like they would have created a lot of "odd" traffic.
    This may have been the cause of all your connections. You said that it all started with your implmentation of a DMZ. Try implementing the setup I outlined earlier and track your connections after that.
    Are you seeing a lot of dropped connection attempts to the external IP of your ASL? This is a good indicator that someone is "knocking on the door". Try turning on Port Scan Detection to see if it indicates anything odd.
     
  • 0 in reply to JimmyM
    Hi!

    I have implemented your work - and it's much better. But the connections remain. I am currently trying to find away of listing connections via the shell through ssh, but with no luck. I've been searching on google. I also switched off the cable modem and restarted it. Still, no luck.

    As for the Packet Filter log, I'm getting dropped packets every second. One ip address in particular: 10.180.128.1. The source port is 67. The destination ip is 255.255.255.255 and the port is 68. I'm also getting a fair few icmp drops.

    This is real wierd. Thanks for the help.

    MidgetmanUK 
  • 0 in reply to MidgetmanUK
    to stop that traffic, I created a network called Internet Broadcast with the address of 255.255.255.255 255.255.255.255.  Then I created a filter that dropped it.

    source: any dest: Internet broardcast service: any action: drop.

    that should do the trick for you... 
  • 0 in reply to MidgetmanUK
    uncue75's trick will do it. Those dropped packets are DHCP broadcast request packets. Is your internal network on the 10.x.x.x subnet? What interface is rejecting these packets? If they're being rejected at the external interface, there is something strange going on. 
  • 0 in reply to JimmyM
    "something strange going on" is an understatement: I just rebooted the server, and i now have a peaceful 217 connections. I believe the 14000 connections was probably due to my excellent skillz at defining rubbish masq rules. Probably made a loop in there somewhere.

    Thankyou for your help everyone, much appreciated.

    MidgetmanUK 
Reply
  • 0 in reply to JimmyM
    "something strange going on" is an understatement: I just rebooted the server, and i now have a peaceful 217 connections. I believe the 14000 connections was probably due to my excellent skillz at defining rubbish masq rules. Probably made a loop in there somewhere.

    Thankyou for your help everyone, much appreciated.

    MidgetmanUK 
Children
No Data