Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 2 subscribers
  • Views 7385 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Snort blocking connections to our internal web server

wwwolf_01
I’m curious if anyone can help me with an issue I’m having with snort.  We have an Astaro box covering our internet connection with a webserver and workstations behind it. All worked well until I upgraded to 6.203, now when a user tries to access our webserver via it’s DNS name (or external IP address) snort kicks in and blocks it with the following in the Intrusion Protection System log:

2006:06:19-16:54:47 (none) snort[20617]: [116:151:1] (snort decoder) Bad Traffic Same Src/Dst IP  {PROTO006} (our IP Address):80 -> (our IP Address):35782

If the user punches in the internal IP address of the server then everything works fine, but most people around here aren’t happy with that answer, anyone have a suggestion?

I tried looking through the Intrusion Protection rules but couldn’t find anything, not sure if it’s somewhere else or I’m just blind.


This thread was automatically locked due to age.
Parents
  • 0
    Thanks for the heads up guys.
    Under Packet Filter >> Advanced I tried setting the Spoof Protection to Off, Normal and Strict with no change.  One odd thing I’ve noticed, I looked at the logs again and the connection to my web server is not being blocked (i.e port 57587 -> port 80) but only the return connection (i.e. port 80 -> port 57587).
    I’ve got a temp. work around by setting up my own local DNS server, but it’s still not the perfect solution, any other ideas?
Reply
  • 0
    Thanks for the heads up guys.
    Under Packet Filter >> Advanced I tried setting the Spoof Protection to Off, Normal and Strict with no change.  One odd thing I’ve noticed, I looked at the logs again and the connection to my web server is not being blocked (i.e port 57587 -> port 80) but only the return connection (i.e. port 80 -> port 57587).
    I’ve got a temp. work around by setting up my own local DNS server, but it’s still not the perfect solution, any other ideas?
Children