Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 6166 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Please help!! How to disable "IP-Spoofing rule"

Frank_H
Hello,

I got a problem. Im sitting on a tv-cable internet line. I got an static ipaddress (Real, not private) but my ISP's DNS server thats on an different network has one (192.168.0.6). 

I am the primary DNS server for my domain and I just delegated him to be secondary. But the requests comes from 192.168.0.6 and is then blocked by our ASL.

I have tried to add a rule to counter this but no effect. [:(]
192.168.0.6->DNS->Internal_server

Other external requests (From real ip-addresses) are functioning well, So there is no problem with the DNAT or packetfilter for just DNS... It seams that its only the "IP-Spoofing" thats the problem.

Can i disable the default rule "IP-Spoofing"? 
Or get around it?

Please help me...

    


This thread was automatically locked due to age.
  • 0
    Dont know if i get this right, by:
    [ QUOTE ]
     I got an static ipaddress (Real, not private) but  my ISP's DNS server thats on an different network has one (192.168.0.6). 

    [/ QUOTE ] 

    Does this mean that your ISP running the slave zones for your domain(s) has it's DNS resided in a private net (DMZ).
    If thats the case it's your ISP who have the issues. The requests should come from a ISP "real" ipaddress.  
  • 0 in reply to AJo
    Hello
    (Hejsan jag är oxå svensk)  [:)]

    Here is an layout of the network.

    Our LAN +inetnalDNS -> ASL -> ISP_FW_with_DNS -> INTERNET

    Here is a traceroute of it..
     1  * * *                        = ASL (no traceroute allowed)
     2  81.216.xx.x            = ISP Gateway
     3  192.168.0.6            = ISP internal NIC 
     4  213.134.xxx.xxx    = ISP External NIC

    So 3 and 4 is the same compute and the ISP's DNS that is running an slave sone for me.

    When he attempts to make an zone-transfer the transfer comes from 192.168.0.6 and is then blocked by ASL

    My internal network is = 192.168.0.0/24 

    Hope this clears some questions.

    Thanks for any help.  
  • 0 in reply to Frank_H
    The transfernet (routing net) between your ASL and the ISP is then a public net. Unless it's a stubbed net i still think that your ISP should see to that his DNS replies with the public ipaddress that it probobly should. 

    The problem is the use of the private net. Both you and the ISP uses the 192.168.0.0 witch will couse you some problem. Since the ISP replies comes in from your external NIC it will be treated as a spoof since the net serving the 192.168.0.0 network is your internal nic as far as your ASL knows.

    I quick and ugly way could be to change your internal net to ex. 192.168.1.0/24 and see what happens. But I still beleive that your ISP have som things to solve as mentioned first.  [:)]  
  • 0 in reply to Frank_H
    Or is the transfernet between you and the isp a subnetted 192.168.0.0 network?? 

    In that case you have to know this and set up your internal network diffrent.   
  • 0 in reply to AJo
    Thanks, 

    I have changed my internal  subnet to 192.168.100.0/24
    as U said. (Gladly it wasent so many computer [:)] )

    Have to wait for my isp to make an new transfer (I was pissed off enought to vipe out the IP-Spoofing rule in the asl temporary by the console just to make the transfer happen)

    Hopfully this subnetchange will make an permanent fix.
    I will get back if it works/did not work
    Thank U so much for your assistans
    (Tackar) [:)]   
  • 0 in reply to Frank_H
    Hello again,

    Now is everything working. Thanks again!!!