Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2535 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IP-SPOOFING DROP (DNS-Querys)

Hannesg
Hello all

We have an ASL 5.100 installed. There are two interfaces (dmz & an internal interace). In the packetfilter-log we reveive the following message (from the internal network):
2004:12:29-13:26:19 (none) kernel: IP-SPOOFING DROP: IN=eth1 OUT=eth2 SRC=10.1.2.10 DST=195.186.4.111 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=23963 DF PROTO=UDP SPT=57539 DPT=53 LEN=40

Now we have the problem, that the host in the internal network couldn't start dns-querys, because they are dropped with this rule "ip-spoofing drop". the host in the internal network connects to the internet through an other host (virusgateway). could this built our problem?

I mean that I've  already disabled all the intrusion-detection-settings...but this didn't solve our problems. Are there other possibilities to disable the dns-ids?

Thanks a lot.

HannesG


This thread was automatically locked due to age.
Parents
  • 0
    ASL has Spoof Portection implemented. Please check your network addressing, switches etc., due to packets arriving the firewall on one interface, but they are expected on the other one. It is an issue of your topology.
    You also can search the forum to disable Spoof Portection, but I do not recommend that.
    /bagira
  • 0 in reply to bagira
    Dear Bagira

    I think that our topology is ok. we also only have this log-entries with dns-querys (since an asl-update). I didn't found any possibilities to disable the DNS-IP-Spoofing. I've already disabled the whole IDS, but this didn't solved our problems. At the moment, our Server could not start dns-querys because they will be dropped at the astaro. 
    Any idea?

    Thanks a lot.

    HannesG
  • 0 in reply to Hannesg
    Hannesg,

    as Bagira said your setup isn't correct from the Astaro point of view.

    [ QUOTE ]
    2004:12:29-13:26:19 (none) kernel: IP-SPOOFING DROP: IN=eth1 OUT=eth2 SRC=10.1.2.10 DST=195.186.4.111 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=23963 DF PROTO=UDP SPT=57539 DPT=53 LEN=40

    [/ QUOTE ]

    I would bet that a host with the IP 10.1.2.10 is connected to the wrong interface or you have configured a network loop (short circuit), this may happen if multiple firewall interfaces are connected to the same switch for example.

    There is no 'official' way to disable SPOOF protection - it has nothing to do with the DNS service it is a general IP related problem.

    Greetings
    cyclops
Reply
  • 0 in reply to Hannesg
    Hannesg,

    as Bagira said your setup isn't correct from the Astaro point of view.

    [ QUOTE ]
    2004:12:29-13:26:19 (none) kernel: IP-SPOOFING DROP: IN=eth1 OUT=eth2 SRC=10.1.2.10 DST=195.186.4.111 LEN=60 TOS=0x00 PREC=0x00 TTL=62 ID=23963 DF PROTO=UDP SPT=57539 DPT=53 LEN=40

    [/ QUOTE ]

    I would bet that a host with the IP 10.1.2.10 is connected to the wrong interface or you have configured a network loop (short circuit), this may happen if multiple firewall interfaces are connected to the same switch for example.

    There is no 'official' way to disable SPOOF protection - it has nothing to do with the DNS service it is a general IP related problem.

    Greetings
    cyclops
Children
No Data