Portscan attack

ok, in first step i suggest you disable portscan detection and rather follow packet filter log. maybe there you also get information what exactly is droped (source and destination ports). it could also help if you would post a piece of this logfile here. without more information i guess it will be hard to really help you.

the sample of the portscan log file. please help!

2004-Apr 20 00:07:15 (none) kernel: Portscan detected: IN=eth1 OUT=eth0 SRC=161.142.2.17 DST=192.168.9.21 LEN=160 TOS=0x00 PREC=0x00 TTL=40 ID=3709 PROTO=UDP SPT=53 DPT=3663 LEN=140
2004-Apr 20 00:07:16 (none) kernel: Portscan detected: IN=eth1 OUT=eth0 SRC=161.142.2.17 DST=192.168.9.21 LEN=372 TOS=0x00 PREC=0x00 TTL=40 ID=4107 PROTO=UDP SPT=53 DPT=3664 LEN=352
2004-Apr 20 00:07:18 (none) kernel: Portscan detected: IN=eth1 OUT=eth0 SRC=161.142.2.17 DST=192.168.9.21 LEN=160 TOS=0x00 PREC=0x00 TTL=40 ID=4719 PROTO=UDP SPT=53 DPT=3671 LEN=140
2004-Apr 20 00:07:19 (none) kernel: Portscan detected: IN=eth1 OUT=eth0 SRC=202.99.8.1 DST=192.168.9.21 LEN=145 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=53 DPT=3671 LEN=125
2004-Apr 20 00:07:21 (none) kernel: Portscan detected: IN=eth1 OUT=eth0 SRC=202.99.8.1 DST=192.168.9.21 LEN=328 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=53 DPT=3672 LEN=308
2004-Apr 20 00:07:48 (none) kernel: Portscan detected: IN=eth1 OUT=eth0 SRC=202.99.8.1 DST=192.168.9.21 LEN=360 TOS=0x00 PREC=0x00 TTL=56 ID=0 DF PROTO=UDP SPT=53 DPT=3738 LEN=340

for me this looks like dns replies for your internal host 192.168.9.21. since portscan detection filters these i guess its a bug in this module. i for myselfe deactivated portscan detection, because i also had the feeling that it is not working properly and packets from outside are anyways droped. i had no special interest in those who try a portscan, because any kiddy is trying it.

Thanks ref. I will discuss this option with the boss. thanks again.

The source port in all your log entries is port 53. This makes me believe that what you are seeing are the replies to DNS lookups. Since a single web page being browsed can often generate from 10 to 50 DNS lookups, this would be quite normal. Do you have your DNS proxy enabled? If so, you should configure your PCs to use it.

Dear Sir,

Please advice me how.

best regards

To enable the DNS Proxy in ASL, go to the Proxies->DNS menu and "enable" the DNS proxy.  Select the interface(s) for the DNS proxy to listen on (your Internal interface(s)), and select the Allowed Networks (your workstation PC for example, which will be making the DNS requests).  Finally, specify the Forwarding Name Servers, usually those of your Internet Service Provider.

In your PC you'll need to configure the default NIC to use the IP address of the Astaro box as the default DNS server.  In Windows2000 you'll find the DNS server setting under the TCP/IP Properties.

I've tried it out but it does not work. Please, please advice other method.

I've tried it out but it does not work. Please, please advice other method.

User eFrisky gave you good instructions on how to configure the ASL DNS proxy. The idea is that your PCs use the ASL box as their DNS server, while the ASL DNS proxy forwards the DNS lookups to your ISPs DNS servers. If you have properly configured this per eFrisky's instructions, then it should work.

You will need to be more explicit, and explain to us what you have configured for your DNS lookups so far, and what it is exactly that is not working for you.