Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2401 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Seeing strange drops in packetfilter

Biffa
I'm seeing TCP drops from 10.14.0.90 and 10.14.0.90 in the packetfilter livelog. The source port is 80 and the destination is an external IP on the firewall.

We aren't using that IP range internally here and there is no equipment connected outside the firewall.

Our ISP looked at the cisco router logs and couldn't see anything that matched that IP range in the cisco logs.

So I'm a bit stumped myself. [:S]

Anyone got any ideas?


This thread was automatically locked due to age.
  • 0
    Am I wrong or this is not an IP range but a single IP?
    have you tried to run an IP scanner in the range like 10.14.0.xxx?

    Sometime you do not know what you might have  connected until you really scan (think of some access point...).

    Weird things happened to me too, once, and it was an IP I could reach "inside" my range at the ISP side (not your case, as you say it tries to connect from the inside to outside the FW).

    nmap could help to understand more, I guess. I hope

    friscom
  • 0
    My ISP (Adelphia cable) uses 10.x.x.x addressees for their DHCP servers, but that wouldn't be on port 80.

    Can you ping that address?

    Barry
  • 0 in reply to BarryG
    That range you mention is not public, but reserved to make TCP/IP (Class A) networks.
    Then, if your ISP does not use any drop or reject settings at his router/FW, you should be able to ping it.
    A DHCP server not necessarily is accessible through a port 80 (web) port. The DHCP standard use is through port 67 instead, to my understanding.

    Others might correct me.
    friscom
  • 0 in reply to Ticker
    Spoofed packets would be UDP, or just TCP SYNs.
    (Spoofed SYNs are almost useless except for SYN flood).
  • 0 in reply to BarryG
    They seemed to have dissapeared now, but it was very wierd. The ISP couldn't see anything coming through the router and I knew it was a reserved IP range.

    No it wasn't pingable and I couldn't find anything in that range doing scans. And physically there wasnt anything connected outside the firewall but inside the router that could be generating it this end.

    Got another one now, different IP but again a reserved address, going to try and track it down. [:)]
  • 0 in reply to Biffa
    I've got a strange feeling these might be coming from our offsite users via their own networks, if they connect via VPN to the firewall and their machine has windows sharing on for a home network then it could be noise from their end hitting the firewall.
  • 0 in reply to Biffa
    maybe but source port shouldn't be 80 for anything like that.

    Barry