Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1634 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

stop log

pathfinder
ASL's log is too more and occupy too more CPU resource.How can i stop log.I have configured rule: ANY  ANY ANY DROP, why still has log entry into logfile.I don't understand.
I use some attack tool to test ASL,ASL's rule is general configuration.ASL is crashed. The CPU utilization is 100%.  My question is :
1. How much concurrent connections can ASL support?
2.I must let ASL to work normally in network environment filled attack, I should how to do?
3.I should how to understand log information, according to log information, I can know why ASL log it and it belong to which attack type. I should how to block it.such as:
2003-Dec 23 04:01:12 (none) kernel: UDP Drop: IN=eth0 OUT= MAC=00:02:55:b7:6a:9b:00:02:55:b7:ac:4b:08:00 SRC=192.168.0.252 DST=192.168.0.254 LEN=50 TOS=0x00 PREC=0x00 TTL=64 ID=56696 DF PROTO=UDP SPT=32774 DPT=53 LEN=30
Sep 20 00:00:57 host kernel: ICMP Drop: IN=eth0 OUT=eth1 SRC=192.168.0.4 DST=192.167.122.137 LEN=92 TOS=0x00 PREC=0x00 TTL=127 ID=57665 PROTO=ICMP TYPE=8 CODE=0 ID=512 SEQ=24756 
2003-Dec 20 13:17:25 (none) kernel: TCP Drop: IN= OUT=eth0 SRC=192.168.0.254 DST=192.168.0.111 LEN=1194 TOS=0x00 PREC=0x00 TTL=64 ID=586 DF PROTO=TCP SPT=8080 DPT=3062 WINDOW=6432 RES=0x00 ACK PSH URGP=0
4.what is the highest performance of ASL on hardware platform ASL supported? Now i use IBM305.
5.My WAN speed is pure 100M, I should config which CPU and how much memory?
Pls you help me. thanks a lot!  


This thread was automatically locked due to age.
Parents
  • 0
    Hi Pathfinder,
    please post your complete current ruleset for packet filtering.
    best would be the complete configuration (IP's, masquarading, and so on).
    What I see was a DNS-Query (port 53) from 192.168.0.252 (a client?) to 192.168.0.254 (ASL?) which is dropped.
    -->Did you enable DNS-Proxy? DNS-Settings in your Client point to your ASL? Did you allow these queries?

    The next is ICMP Code 8 (must a ping or traceroute) it is TTL-exceeded. from internal (192.168.0.4) to a outside box  (192.167.122.137).
    -->Why is there a direct connection? Did you have a ruleset (or basically the need for this connection) for this?
    the next is a connection from 192.168.0.254 (your ASL?) at port 8080 (the HTTP Proxy-Port) to an internal IP (192.168.0.111)
    --> Is the internal net  allowed to use the proxy at your ASL?

    You see many possibilities....

    I have a ASL with 2GiG processor and 265 MB RAM it works very smooth. What I read here in the UBB also smaller Boxes are enough...
    what mean IBM305? I don't know this machine...

    HTH

    Regards

    Udo Seiler
     
  • 0 in reply to Udo_Seiler
    Hi Udo_Seiler,
    My ruleset of packet filtering is:
    Internal_network   ANY    ANY   allow.
    Masq: Internal_network   external
    proxy: Transparent   allow network:Internal_network
    192.168.0.252 is a client.ASL's internal interface is 192.168.0.254.I don't enable DNS-Proxy. Should I allow DNS-Query? I use a tool to sent a lot of packet to a specific port for a range of IP address, the ASL is crashed. the usage of CPU is 100%. I may block some attact to other ports except for 53, 80 ,25, 110 ,21 etc I must open ports.But if the hacker attack these ports I must open, I'll no way to block it.Pls give me your advice, I shoult how to configure my ruleset of packet filter.   
Reply
  • 0 in reply to Udo_Seiler
    Hi Udo_Seiler,
    My ruleset of packet filtering is:
    Internal_network   ANY    ANY   allow.
    Masq: Internal_network   external
    proxy: Transparent   allow network:Internal_network
    192.168.0.252 is a client.ASL's internal interface is 192.168.0.254.I don't enable DNS-Proxy. Should I allow DNS-Query? I use a tool to sent a lot of packet to a specific port for a range of IP address, the ASL is crashed. the usage of CPU is 100%. I may block some attact to other ports except for 53, 80 ,25, 110 ,21 etc I must open ports.But if the hacker attack these ports I must open, I'll no way to block it.Pls give me your advice, I shoult how to configure my ruleset of packet filter.   
Children
  • 0 in reply to pathfinder
    Hi Pathfinder,

    my suggestion:

    enable DNS-Proxy and HTTP-Proxy
    allow the internal net to use these proxys
    point the internal machines to your asl (DNS-proxy+HTTP-proxy)
    configure your DNS-Proxy to receive DNS Entries from your ISP.
    Use the other useful Proxy's (SMTP+POP3) at your need.
    Configure them like the manual suggested.
    Block all Broadcast-traffic on the outside with a dropping rule.
    Block all Windows-ports (137-139) inside with a drop-rule.
    Block all Bootp/DHCP requests on the inside with drop-rule.
    Block all Bootp/DHCP requests on the outside with drop-rule.

    Then your Clients don't have to go outside by themselves (so to speak), they are using the proxys.

    These are the normal settings/usage.
    The packet-handling will mostly done from the proxys, the DoS attacks to the normal ports will not reach the packet-filter and stress it down.
    And then your log-files are in a size that you can read/analyse them.

    From where did you start your attack? inside or outside?
    Which Tool you used? which ports are scanned in which time?
    I think you should configure your tool only to test the open ports, not to stop the firewall with to many packets.

    Not a solution:
    But when your firewall goes down your internet connection should be broken. So no attacker will have success to get in your network.

    In the past months I had a few portscans at my asl-boxes. but the don't got it down.

    Did you enable the portscan feature? Try it.

    HTH

    regards

    Udo Seiler