Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 4035 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Anit-Spoofing doesn't work ('martians' not captured)?

mr-4
My Astaro version was 7.300 originally, which updated to 7.301 last night, but I am still experiencing problems with the above.

I run server on a separate (dmz) network inside the Astaro firewall, which has its own firewall installed. Since installing Astaro (2 days ago) I started getting martians originating from the Astaro firewall (see a snippet of my dmz firewall log below). Why is this happening - I have Network Security » Packet Filter » Spoof protection set to 'Strict', which is supposed to prevent this but it clearly isn't working! I also have the 'Validate packet length' option set as well.

A snipped from my dmz server firewall log: 


kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        

kernel: martian source  from , on dev eth0

kernel: ll header: ::08:00        


This thread was automatically locked due to age.
  • 0
    The fact that you're seeing those log entries means that the spoof protection IS working. Martian packets are ones that are easily identifiable as spoofed. Spoofing almost always means a cabling error somewhere. Somehow packets from eth2 are able to get to eth0.
  • 0 in reply to crashtestdummy
    The fact that you're seeing those log entries means that the spoof protection IS working.


    Read my initial post carefully - it says:-
    I run server on a separate (dmz) network inside the Astaro firewall, which has its own firewall installed. Since installing Astaro (2 days ago) I started getting martians originating from the Astaro firewall (see a snippet of my dmz firewall log below).


    So, the firewall spoofing does NOT work! I need to know why as with the previous firewall I had (prior to installing Astaro) this never happened. In fact I remember seeing packets like this stopped in their tracks before reaching the dmz server firewall.


     Martian packets are ones that are easily identifiable as spoofed. Spoofing almost always means a cabling error somewhere. Somehow packets from eth2 are able to get to eth0.

    'Almost' is the key word here...I agree about the 'easily identifiable' bit, hence my astonishment that Astaro, it appears, do NOT capture these! I need to know why?
  • 0 in reply to mr-4
    what I mean is that because you are seeing them logged, that means they are being detected and stopped. Why do you suspect that they are not being stopped?
  • 0 in reply to crashtestdummy
    sorry, I posted in haste [:)] logs from DMZ, not from astaro. Do you have proxy arp enabled on any of your Astaro's interfaces?
  • 0 in reply to crashtestdummy
    I was just going to blast you in thousand pieces for (nearly) letting me repeat for a 3rd time in this thread that the packets are not captured by astaro, but by my dmz firewall :lol:

    OK, I don't run any proxies at all (excuse my ignorance, but what is arp proxy and where can I find out is one running). 

    What I do have running, however, is DNAT from Any on 1024:max (both udp and tcp) -> Astaro:9897 redirecting this to my :9897.
  • 0 in reply to mr-4
    proxy arp is a checkbox in the setup screen for each interface. It's very seldom useful, and can also cause spoofing. But now that you mention the nat rule, I think that's your cause. 

    In your case, it looks like the NAT rule you created is also sending packets generated by your DMZ server back to your DMZ server. If the the source field in your rule is Any, then that also includes the DMZ server.

    If you are only wanting to forward traffic from the internet to this server, then create a new network definition with the following settings:
    Name: Internet
    Type: Network
    Address: 0.0.0.0
    Interface: 
    Netmask: /0

    Then set that as the source of your DNAT rule. Now, traffic from your server will not match, but packets from the internet will.
  • 0 in reply to crashtestdummy
    it looks like the NAT rule you created is also sending packets generated by your DMZ server back to your DMZ server. If the the source field in your rule is Any, then that also includes the DMZ server.


    If that was the case then, from what you say, any traffic generated by the dmz and destined to internet will be sent back to it and that is clearly not the case as the dmz server sends about 1.5GiB worth of data every single day. If it was bounced back, then my logs would be enourmous and I will be screaming blue murder on here [H]
  • 0 in reply to mr-4
    no, it only affects new sessions. Astaro is fully stateful. Reply traffic is not affected.