Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1918 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

DMZ Problem / MAC Spoofing

dt_
Fact:
I recently installed a new server in my home network. I can ping the server from my workstation and vice versa. I have a DMZ (Astaros eth2 Interface) but currently this box is in the Internal (eth1) network.

Problem:
I can't create a ssh session to my astaro box from that server (of course ssh from my workstation is working). SSH is allowed for "Internal (Network)". I neither can ping a server in my DMZ nor in the internet whereas I CAN ping those server from any other already installed machine in the same net (like my workstation).

This is the servers interface

Code:

eth0      Link encap:Ethernet  HWaddr 00:10:4B:48:52:18
          inet addr:192.168.20.87  Bcast:192.168.20.255  Mask:255.255.255.0
          inet6 addr: fe80::210:4bff:fe48:5218/64 Scope:Link
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:1317 errors:0 dropped:0 overruns:0 frame:0
          TX packets:1536 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:124796 (121.8 Kb)  TX bytes:141992 (138.6 Kb)
          Interrupt:17 Base address:0xd400


My Routing Table on that box seems to be correct (.20.100 is Astaros Internal Network Interface).

Code:

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.20.0    *               255.255.255.0   U     0      0        0 eth0
loopback        *               255.0.0.0       U     0      0        0 lo
default         192.168.20.100  0.0.0.0         UG    0      0        0 eth0


So far so good... Now I had the idea to have a look at my Packet Filter Live Log an found this entry while I was trying to SSH from the Server to Astaro.

Code:

02:33:35 192.168.20.87 32769 -> 192.168.20.100 22 TCP 60  64 Spoofing MAC 00:10:5a[[:D]]6:16:84:00 -> 10:4b:48:52:18:08:00 


Due to "Spoofing MAC" all packets from that box passing the Router are dropped but what the heck does that mean? Why is this spoofing going on? I think 10:4b:48:52:18:08:00 would match the MAC Addr. of eth0 of the server... and 00:10:5a[[:D]]6:16:84:00 looks like the HWaddr. of eth2 of my Astaro Box. As already said, eth2 represents my DMZ and has its own network that has nothing to do with this Internal Network-Setup (in my opinion).

This is an entry while pinging an internet host by its FQDN
Code:

03:10:22 192.168.20.87 32768 -> 192.168.20.100 53 UDP 20 46 64 Spoofing MAC 00:10:5a[[:D]]6:16:84:00 -> 10:4b:48:52:18:08:00 
03:10:23 192.168.20.87 Echo request -> 192.168.30.100  ICMP 84  63 Spoofing MAC -> 


And this while pinging an internethost by its IP
Code:

03:11:20 192.168.20.87 Echo request -> 192.168.30.100  ICMP 84  63 Spoofing MAC ->  
03:11:21 192.168.20.87 Echo request -> 194.25.2.129  ICMP 84  63 Spoofing MAC ->  


Finally eth2 of my Astaro Box:

Code:

eth2      Link encap:Ethernet  HWaddr 00:10:5A[:D]6:16:84
          inet addr:192.168.30.100  Bcast:192.168.30.255  Mask:255.255.255.0
          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1
          RX packets:88 errors:0 dropped:0 overruns:0 frame:0
          TX packets:16 errors:0 dropped:0 overruns:0 carrier:0
          collisions:0 txqueuelen:100
          RX bytes:8501 (8.3 Kb)  TX bytes:960 (960.0 b)
          Interrupt:11 Base address:0xec00


After all, I thought it might have something to do with my DMZ, so I took down eth2 by brute force (ifconfig eth2 down)... Guess what: Ping and SSH suddenly worked like a charm.
Now I have come to the point that my DMZ setup must be faulty.

I have no static routes defined. What follows is my MASQ Setup:

Code:

MASQ_T-DSL               Internal (Network) -> All / All                              MASQ__External   None
MASQ_T-DSL_DMZ           DMZ (Network)      -> All / All                              MASQ__External   None
NAT_FTP_DMZ_FTP_SERVER   Any                -> External (Address) / Group_FTP   None  DMZ_FTP_SERVER   
NAT_HTTPS_DMZ_WWW_SERVER Any                -> External (Address) / HTTPS       None  DMZ_WWW_SERVER   
NAT_HTTP_DMZ_WWW_SERVER  Any                -> External (Address) / HTTP        None  DMZ_WWW_SERVER   


What's wrong? And why is everything running fine except this new box?

The Astaro Version is 5.011.


This thread was automatically locked due to age.
Parents
  • 0
    ok.. after reading some other posts (and getting some sleep [:)]'ve found a workaround.

    I have set up two VLANs on my Switch. One for the INTERNAL NETWORK and one for the DMZ NETWORK. All MAC-Spoofing entries have disappeared since then. And I can ping / ssh whatever I want.

    But I still don't get it [:)]s...
     Is a VLAN / seperate Switches the only way to get a DMZ up and running?
  • 0 in reply to dt_
    hi there,

    MAC Spoofing means that there is a nother network card in your network that has the same mac address as the card who is reporting the spoofing... usally you so this if you have 2 onboard nics and use them both. Hope this clears out why its gone when you put them in seperateted VLANS

    cheers

    MajorPain
  • 0 in reply to MajorPain
    There's definitly no nic with the same MAC address in my network and I'm not using any onboard adapter [:)]
    Of course I understand that VLAN solves my problem and after studying the manual I know that Astaro recommends VLANs or sperated Switches.
    What I don't understand is why this setup (without VLAN) was working for all my boxes but that specific server.
    Is this what they call "ARP Clash" in the manual?
  • 0 in reply to dt_
    [ QUOTE ]
    There's definitly no nic with the same MAC address in my network and I'm not using any onboard adapter [:)]
    Of course I understand that VLAN solves my problem and after studying the manual I know that Astaro recommends VLANs or sperated Switches.
    What I don't understand is why this setup (without VLAN) was working for all my boxes but that specific server.
    Is this what they call "ARP Clash" in the manual? 

    [/ QUOTE ]

    It could be i am not familiar with that but what i was trying to say is that if you see mac spoofing "errors" there is somewhere a card who is "thinking" the same mac address as a other nic, of course i know there is no card in your network with the same MAC address 'cause they are unique right [:)] but we can use software to emulate mac adresses so not saying this is what you have just tried to explain the mac spoofing.. i had it with a dual nic onboard that was not configured right in Astaro by the hardware probe..

    cheers

    MajorPain
Reply
  • 0 in reply to dt_
    [ QUOTE ]
    There's definitly no nic with the same MAC address in my network and I'm not using any onboard adapter [:)]
    Of course I understand that VLAN solves my problem and after studying the manual I know that Astaro recommends VLANs or sperated Switches.
    What I don't understand is why this setup (without VLAN) was working for all my boxes but that specific server.
    Is this what they call "ARP Clash" in the manual? 

    [/ QUOTE ]

    It could be i am not familiar with that but what i was trying to say is that if you see mac spoofing "errors" there is somewhere a card who is "thinking" the same mac address as a other nic, of course i know there is no card in your network with the same MAC address 'cause they are unique right [:)] but we can use software to emulate mac adresses so not saying this is what you have just tried to explain the mac spoofing.. i had it with a dual nic onboard that was not configured right in Astaro by the hardware probe..

    cheers

    MajorPain
Children
No Data