Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 18 replies
  • Subscribers 2 subscribers
  • Views 17008 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

14k connections!!!! Started with new DMZ, HEEEELP!

MidgetmanUK
Hi people,

I have been searching the forums high and low for hours now, to see what the heck is going on. I haven't had any luck.   [:S]

OK. At midnight last night, I started using the DMZ for the first time. Before this, All I had been using was the internal network (7 client machines, 1 astaro router... the normal stuff). I wanted to get a server in the DMZ to run some services like ftp, psybnc, and teamspeak.

All went well. The server goes straight into the DMZ NIC, with a crossover cable. Rather than tell you what I ADDED to the packet filter/NAT/masq rules, I'll give the whole lot, just incase I've done something really stupid.

Sorry for the length.

=====================================================
NAT/Masquarading
================
Name: DMZ
Rule Type: Masquarading
Network: DMZ_Interface_Network__
Interface: Cable_Modem

Name: DMZ_Internal_Access
Rule Type: Masquarading
Network: Internal_Network__
Interface: DMZ_Interface

Name: DMZ_NAT
Rule Type: DNAT/SNAT
Source Address: DMZ_Interface_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: :: MASQ on 'Cable_Modem' ::
Change destination to: :: No Change ::

Name: DMZ_NAT2
Rule Type: DNAT/SNAT
Source Address: Cable_Modem_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: :: MASQ on 'DMZ_Interface' ::
Change destination to: :: No Change ::

Name: EXODUS-TS
Rule Type: DNAT/SNAT
Source Address: Any
Destination Address: Cable_Modem_Interface__
Service: EXODUS-TS2
Change source to: :: No Change ::
Change destination to: EXODUS
Service destination: EXODUS-TS2

Name: FTP
Rule Type: DNAT/SNAT
Source Address: Any
Destination Address: Cable_Modem_Interface__
Service: FTP
Change source to: :: No Change ::
Change destination to: EXODUS
Service destination: FTP

Name: FTP-RANGE
Rule Type: DNAT/SNAT
Source Address: Any
Destination Address: Cable_Modem_Interface__
Service: FTP-PASV-RANGE
Change source to: :: No Change ::
Change destination to: EXODUS
Service destination: FTP-PASV-RANGE

Name: LAN
Rule Type: Masquarading
Network: Internal_Network__
Interface: Cable_Modem

Name: LAN-NAT
Rule Type: DNAT/SNAT
Source Address: Internal_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: Cable_Modem_Interface__
Change destination to: :: No Change ::
Service destination: :: No Change ::

Name: LAN-NAT2
Rule Type: DNAT/SNAT
Source Address: Cable_Modem_Interface__
Destination Address: :: No Match ::
Service: Any
Change source to: :: MASQ on 'Internal' ::
Change destination to: :: No Change ::

Static routes
=============
:: no additional static routes defined ::

Packet Fileter
==============
From: Cable_Modem_Network__
To: Internal_Network
Service: service_135
Action: Drop

From: Internal_Network__
To: Any
Service: Any
Action: Allow

From: DMZ_Interface_Network__
To: Any
Service: Any
Action: Allow

From: Any
To: Any
Service: FTP
Action: Allow

From: Internal_Network__
To: DMZ_Interface_Network__
Service: Any
Action: Allow

From: Any
To: Any
Service: FTP-PASV-RANGE
Action: Allow

From: Any
To: Any
Service: EXODUS-TS2
Action: Allow

From: Cable_Modem_Network__
To: DMZ_Interface_Network__
Service: Any
Action: Allow

=====================================================

For reference, EXODUS is my server on the DMZ. For example, the service EXODUS-TS2 is the TeamSpeak2 service port. I still haven't got that one working actually  [:S]

Righty. The problem. Looking at my reports on the Astaro box, around the time the DMZ was activated, the connections just went MENTAL. We have never really had more than 1000 connections. It used to average at about 210. Now, we have a constant number of connections of 14000 ish. Obviously this value changes, but its worrying me. Nobody on the internal network could possibly be doing this. 

The actual machine is an old Compaq 850R - P200MMX, 196MB Ram. I'm not using proxies, and the cpu usage used to be about 25%. Now its just over 50%. This makes sense since its working for two networks rather than one, but I can't look at connection tracking or anything.

I think I may have defined a loop somewhere in the NAT? So that connections are being sent round in an endless route?  [:S]

Any help would be greatly appreciated.

MidgetmanUK

P.S As you may have figured, I don't exactly know what I'm doing. I think I bodged up the Masquarading definitions  [:$]  


This thread was automatically locked due to age.
  • 0 in reply to MidgetmanUK
    to stop that traffic, I created a network called Internet Broadcast with the address of 255.255.255.255 255.255.255.255.  Then I created a filter that dropped it.

    source: any dest: Internet broardcast service: any action: drop.

    that should do the trick for you... 
  • 0 in reply to MidgetmanUK
    uncue75's trick will do it. Those dropped packets are DHCP broadcast request packets. Is your internal network on the 10.x.x.x subnet? What interface is rejecting these packets? If they're being rejected at the external interface, there is something strange going on. 
  • 0 in reply to JimmyM
    "something strange going on" is an understatement: I just rebooted the server, and i now have a peaceful 217 connections. I believe the 14000 connections was probably due to my excellent skillz at defining rubbish masq rules. Probably made a loop in there somewhere.

    Thankyou for your help everyone, much appreciated.

    MidgetmanUK 
  • 0 in reply to JimmyM
    I saw these coming in on my external interface with the source address off 10.x.x.x. 
  • 0 in reply to uncue75
    I imagine someone is spoofing their IP to that 10.x.x.x address. That's a private IP range. It shouldn't be in the internet. Create a rule to drop the trafiic and it shouldn't show up in your logs.
    From: 10.0.0.0/8 Svc: Any To: External_Interface Drop. 
  • 0 in reply to JimmyM
    I am shocked whenever I see that too; theoretically, the ISPs should not be passing that traffic (non-routables) by mandate of RFC, but from time to time they do.

    As for Astaro not having tcpdump: it's handy to get a three port mini-hub and plug in a laptop running it on the interface you want to analyze. For serious firewall support, it's a tool of the trade...

    Some at Astaro would argue that having tcpdump lying around on Astaro might be dangerous. A clever workaround is to encrypt such utilities. But what if a hacker compromises your Astaro and loads a Linux console keystroke logger? They might learn the password to unlock such utilities. Some feel that's unlikely, but that could be addressed with One Time Passwords. Another argument is that they would at that point just download the utilites they want. But I suspect Astaro will be introducing some binary signatures at a later date to sabotage such hijinks; not a feature priority for them because if you get it wrong, it bites you in the elbow...
       
  • 0 in reply to SecApp
    I'll use this as another opportunity to shamelessly endorse the use of Snort on a network. A minihub (as SecApp suggested) with Snort running in datalogger mode would be nifty. Not to mention you could "play back" the  binary mode captures to Snort for full signature scanning later on if your machine isn't too fast. Binary capture is the fastest way to capture packets for later analsys.
    I know, I've beaten the Snort drum too loud for too long. I know for a TRUE firewall I'd run ASL with NO extra services, blah, blah, blah. I agree, but for those of us who would like to throw 1 decent machine at our security needs rather than a few It's nice to do it all on one box.
    Thus endeth my sermon, thank you for attending.[;)]