Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 1214 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Weird packetfilter behavior? Bug?

seezer
Hi astaro fellows,

could you please hit me? I noticed a damn weird behavior today.
First of all - a little overview:

. . . . . . . . .  Firewall[Net1] (got static route to Net2 over Router)
. . . . . . . . . . |                    
Server[Net1]--------------[Net1]Router[Net2]--------------Client [Net2]

ASL V6.101

Ok - here the problem:
Server got only one gateway - the default over Firewall. No packetfilter rules for Server->Client or the other way. The bottom rule is a "reject everything from anywhere to anywhere".

This was a productive system running fine for 2-3 month with Server beeing able to connect to Client every day - communication did work perfectly.
But sometimes we had a problem we couldn't locate in the beginning. Once or twice a month, the Server could not connect to the Client. We looked here and there, didn't do anything at all - and a few minutes later - it worked again.
Today it did not work for 2 hours, so i rechecked everything i could think about. When i saw that Server doesn't have a chance to see Client at all - because there was no route set, i was pretty shocked.
I searched through packetfilter-logs on the firewall and again - i can't understand..
Whenever the connection did work, no Client IP was found in those days logfile.
On every day with problems with the connection - the packets hit the REJECT rule.. but just for a few minutes - then no appearance of the Client IP anymore.

How the f*ck did it work? Is it a bug in ASL? Could the Server detect the route over Router itself? Both seems pretty improbably if not impossible..

Any ideas?
Greetings,
a really baffled Sebastian


This thread was automatically locked due to age.
Parents
  • 0
    What a pitty you haven't pointed out what OS you are using as server system. At least a server with win2k3 might be able to recognize OSPF and RIP of the hardware router.

    So what could happen is that the server itself learned the route to the other subnet by listening to the announcements of the router. Just have a look at the RIP and/or OSPF-Messages of the router.

    What you could do is to connect the ASL via Cross-Over-Cable with the router in order to get all unwanted traffic from the router blocked way from the server, so it cannot learn any existing routes.

    Maybe that helps, however it's hard to investigate without any further knowledge.

    Good luck

    Wolperdinger

    By that way: If you dont't trust the networks, you should at least put the server in another vlan. This prevents  a machine with an supordinated subnet-mask to recognize all nets.( e.g. Lan1 has 192.168.32.0/24, Lan2 192.168.64.0/24, a client with IP 192.168.32.32/16 from Lan1 could still see all clients within net1 and net2, even though there is a router)

    One last thing: If you're useing a flat net (Layer2-Switching with one VLAN), you still have one broadcast domain at all. The router won't help as a switch forwards broadcasts on all ports. That means, assuming you are using a Windows-Server, the traffic could be handled by NetBIOS and/or Broadcasts, which MIGHT NOT be affected by the ASL/Router if they are bypassed by the network switch.   
Reply
  • 0
    What a pitty you haven't pointed out what OS you are using as server system. At least a server with win2k3 might be able to recognize OSPF and RIP of the hardware router.

    So what could happen is that the server itself learned the route to the other subnet by listening to the announcements of the router. Just have a look at the RIP and/or OSPF-Messages of the router.

    What you could do is to connect the ASL via Cross-Over-Cable with the router in order to get all unwanted traffic from the router blocked way from the server, so it cannot learn any existing routes.

    Maybe that helps, however it's hard to investigate without any further knowledge.

    Good luck

    Wolperdinger

    By that way: If you dont't trust the networks, you should at least put the server in another vlan. This prevents  a machine with an supordinated subnet-mask to recognize all nets.( e.g. Lan1 has 192.168.32.0/24, Lan2 192.168.64.0/24, a client with IP 192.168.32.32/16 from Lan1 could still see all clients within net1 and net2, even though there is a router)

    One last thing: If you're useing a flat net (Layer2-Switching with one VLAN), you still have one broadcast domain at all. The router won't help as a switch forwards broadcasts on all ports. That means, assuming you are using a Windows-Server, the traffic could be handled by NetBIOS and/or Broadcasts, which MIGHT NOT be affected by the ASL/Router if they are bypassed by the network switch.   
Children
  • 0 in reply to Wolperdinger
    BarryG: no.

    Wolperdinger:
    Thanks for the reply.

    Server runs IBM AIX 5.3
    Routers are our 2 parallel Nortel PassPort8600 Backbone switches.

    Net1 is the main /16 VLAN - our main 'internal' network.
    Net2 is another /24 VLAN in the same network.
    (completely different ip ranges)

    I'm gonna try to get OSPF/RIP logs from the router but the AIX machine doesn't seem to be capable of doing this.
    There is a daemon providing this functionality ("gated") but it isn't running.

    To clear things up: (especially for BarryG: ) the setup is now the way it has to be and it works like a charm.
    I'm just curious what this is about.