Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 2 replies
  • Subscribers 2 subscribers
  • Views 445 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

spoof_drop adjustable???

Chris_W
hello,
i just ran into an old problem ...
have internal network (official class-C) on eth0.
one of my machines (with one of my ip's) ist standing outside, so it's routed on eth3.
it works fine - as long as I connect this machine from internal network.
when i try to connect from this machin into internal network it gives these "spoof_drop" errors again.
for now i found two possible workarounds.
a) create the file /etc/rc.d/ipnat.local and delete iptables-rules by line (find out the line-numbers first)
b) - give the interface a dummy-ip (like 192.168.5.1)
 - give it an alias with the official gateway-ip, too
 - define a route for the official class-c net on this nic

both seem to me like not so professional workarounds.
what is with ip-spoofing on my other offical ip's?
is this still under protection?

am i just blind, not to see an easier way?
or is there a point in the web-interface (maybe in the future?)

kind regards,
chris


This thread was automatically locked due to age.
Parents
  • 0
    Dont follow your logical layout, but the spoof would appear if the ASL recievs packages from the "standing outside machine" via a unexpected interface. Are you using the same switch for the subnets (without VLAN config)?
Reply
  • 0
    Dont follow your logical layout, but the spoof would appear if the ASL recievs packages from the "standing outside machine" via a unexpected interface. Are you using the same switch for the subnets (without VLAN config)?
Children
  • 0 in reply to AJo
    each interface of the ASL-machine is connected to a separate switch.

    iptables spoofprotection rules seem to be made for each NIC-firstadress-network (not alias).  separate routing information is not noticed for this task.
    that's why you can't take a subnet of nic1 to nic2.
    means:
     nic1: a.b.c.d / 255.255.255.0
     nic2: a.b.e.f / 255.255.0.0
    will not allow connection on nic1.
    why?
    - a.b.c.0 will be forbidden on nic2 (no problem)
    - a.b.0.0 will be forbidden on nic1 (a.b.c.0 is belonging to this!)

    if you configure nic2 with netmask 24 or 32 and give routing extra it works fine
    - a.b.0.0 will not be forbidden on nic1
    - a.b.e.0 or a.b.e.f will be forbidden on nic1 - thats ok

    you find this on console of ASL with: something like ...
    iptables -D nat  SPOOF_DROP 
    (sorry don't have it in mind .. find it somewhere in this forum ...)

    kind regards.

    for myself i hope to get a different IP for the external machine.