Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 2 subscribers
  • Views 2126 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS still blocks packets even when the offending rule is blocked

RFCat_vk_01
I am not sure if this a v7.003 isue or a NIC issue.
 
The problem started after I did a re-build from the v7.002 ISO and the up2date release of v7.003.
 
I added another NIC to put the VOiP phone on, but the way things turned out the NIC requires a special cable or a switch to do the crossover.
 
The new NIC (intel pro 1000) became the external interface.
 
Since then I have been getting a large number of packets dropped for port 80, usually ackfin type. Ifirst thought that there was a bug in the proxy, but after investigation it is caused by IPS rules 60001 and 60003. I have disabled both of those rules, yet packets are still dropped by those rules.
 
The original external interface was on the onboard NIC.
 
2 questions
1/. Is the intel pro 1000 fussier when it comes to packet format
2/. why does the IPS still block packets after the rule is disabled.
 
The dropped packets are not seen as intrusion attempts eg they don't appear in the IPS report only the PF log.
 
I will end up re-configuring the ASG so that the external interface is on the inbuilt NIC.
 
I do have the external and internal interfaces in the IPS as well.
 
Ian M[:S] [:S] [:S]


This thread was automatically locked due to age.
Parents
  • 0
    Hi Ian, 

    the Rules 60001 and 60003 are no ips rules but packetfilter rules violation that match the dropped packets (60001 for INPUT, 60003 for OUTPUT).

    you can not disable these rules.

    regards
    Gert
  • 0 in reply to Gert Hansen
    Gert,
    thank you for the prompt reply. I have removed the "disable" from the IP exceptions list.
     
    So, I have to assume it is a NIC issue and move the external interface to a less fussy NIC like the Realtek 8139+.
     
    The issue is causing some grief in that some websites are slow to respond or the ASG is slow to respond.
     
    A majority of the dropped packets are "ackfin" both incoming and outgoing. 
     
    Ian M
Reply
  • 0 in reply to Gert Hansen
    Gert,
    thank you for the prompt reply. I have removed the "disable" from the IP exceptions list.
     
    So, I have to assume it is a NIC issue and move the external interface to a less fussy NIC like the Realtek 8139+.
     
    The issue is causing some grief in that some websites are slow to respond or the ASG is slow to respond.
     
    A majority of the dropped packets are "ackfin" both incoming and outgoing. 
     
    Ian M
Children
  • 0 in reply to RFCat_vk_01
    I rebuilt the ASG, moved the external interface to a realtek NIC and the problem is still the same. The packets are from the packet filter. I have the proxy enabled in standard mode.

    2007:05:02-18:32:04 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcip="144.137.38.227" dstip="209.85.171.147" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="56653" dstport="80" tcpflags="ACKFIN "
    2007:05:02-18:32:30 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcip="144.137.38.227" dstip="209.85.171.147" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="56653" dstport="80" tcpflags="ACKFIN "
    2007:05:02-18:32:40 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcip="144.137.38.227" dstip="12.129.210.41" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="41313" dstport="80" tcpflags="ACKFIN "
    2007:05:02-18:33:22 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcip="144.137.38.227" dstip="209.85.171.147" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="56653" dstport="80" tcpflags="ACKFIN "
    2007:05:02-18:33:54 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcip="144.137.38.227" dstip="12.129.210.41" proto="6" length="52" tos="0x00" prec="0x00" ttl="64" srcport="41313" dstport="80" tcpflags="ACKFIN "
    2007:05:02-18:35:06 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60003" outitf="ppp0" srcip="144.137.38.227" dstip="209.85.171.147" proto="6" length="40" tos="0x00" prec="0x00" ttl="64" srcport="56653" dstport="80" tcpflags="ACKFIN "
    2007:05:02-18:37:07 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="61.9.193.135" dstip="144.137.38.227" proto="6" length="52" tos="0x00" prec="0x00" ttl="56" srcport="80" dstport="55870" tcpflags="ACKFIN "
    2007:05:02-18:37:08 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="61.9.193.135" dstip="144.137.38.227" proto="6" length="52" tos="0x00" prec="0x00" ttl="56" srcport="80" dstport="55870" tcpflags="ACKFIN "
    2007:05:02-18:37:09 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="61.9.193.135" dstip="144.137.38.227" proto="6" length="52" tos="0x00" prec="0x00" ttl="56" srcport="80" dstport="55870" tcpflags="ACKFIN "
    2007:05:02-18:41:06 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="209.85.171.147" dstip="144.137.38.227" proto="6" length="40" tos="0x00" prec="0x00" ttl="238" srcport="80" dstport="56653" tcpflags="ACKFIN "
    2007:05:02-18:41:07 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="209.85.171.147" dstip="144.137.38.227" proto="6" length="40" tos="0x00" prec="0x00" ttl="238" srcport="80" dstport="56653" tcpflags="ACKFIN "
    2007:05:02-18:41:09 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="209.85.171.147" dstip="144.137.38.227" proto="6" length="40" tos="0x00" prec="0x00" ttl="238" srcport="80" dstport="56653" tcpflags="ACKFIN "
    2007:05:02-18:41:13 (none) ulogd[2568]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60001" initf="ppp0" srcip="209.85.171.147" dstip="144.137.38.227" proto="6" length="40" tos="0x00" prec="0x00" ttl="238" srcport="80" dstport="56653" tcpflags="ACKFIN "

    Ian M
  • 0 in reply to RFCat_vk_01
    Okay,
     nailed it down to one PC. Now have to workout why it started behaving this way after the re-build using the iso of v7.002 with v7.003 up2date over the top. This didn't happen during v7.003b or v7.003 production, only after a fresh re-build.



    Ian M
  • 0 in reply to RFCat_vk_01
    Found the problem, ADOBE.

    Added all the variants as described in the Adobe fix for v6.x and the problem went away.

    Still not sure why the ACKFIN would fail in either direction.

    Ian M
  • 0 in reply to RFCat_vk_01
    I thought I had found the problem, Adobe inclusions fixed most but not all. I still get a large number of ACKFIN packets dropped, mainly incoming. I suspect it is an application specific issue, because it is mainly caused by one PC.

    Some days are worse than others, at times I think that a new pattern has been downloaded that is a little stricter and then a little later a more relaxed version after some-one complains.

    Ian M