Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 37 replies
  • Subscribers 2 subscribers
  • Views 35509 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NAT malfunction LAN on WAN

Jim Tagert
While examining the logs, I noticed a pattern that was quite disturbing; my LAN addresses are being sent to the internet. All packets appear to be ACK FIN. RST ACk packets have also been captured.

Inclosed is a packet capture between the ASG and my modem (which I own).

Can someone please explain this?



Jim


This thread was automatically locked due to age.
Parents Reply Children
  • 0 in reply to Jim Tagert
    Latest observation:

    The ASG packet filter log indicates the packets are [ACK FIN], however the packets captured outside of the ASG show them as [FIN, ACK].
  • 0 in reply to Jim Tagert
    Additional data:

    ASG packet filter log shows [ACK RST] and the packet capture outside of the ASG shows [RST, ACK]
  • 0 in reply to Jim Tagert
    the long dramatic pause causes tensions to increase...the silence leaves the mind to ponder what might be happening...he patiently awaits the testing...he wonders if his installation is broken, or did he find a bug...
  • 0 in reply to Jim Tagert
    Hello?

    Can anyone confirm my observations?



    Jim
  • 0 in reply to Jim Tagert
    ISO roll-back install of v7.4 did not correct the problem.

    Turning off HTTPS Scanning appeared to help or work...still unsure.

    After upgrading to v7.401 and immediately after turning HTTPS Scanning back on, IP addresses from my LAN were captured sending [FIN, ACK] or [ACK FIN] whichever place one looks.

    I have NOT conducted enough experiments to confirm anything as the cause. Just that it is still happening.
  • 0 in reply to Jim Tagert
    Jim, If you'd like another set of eyes on it, I can look at it for a few minutes.  Click on my name beside the avatar and email me if you like.

    Cheers - Bob
     
    Sophos UTM Community Moderator
    Sophos Certified Architect - UTM
    Sophos Certified Engineer - XG
    Gold Solution Partner since 2005
    MediaSoft, Inc. USA
  • 0 in reply to BAlfson
    I found a "work-around" that works until I figure out what is happening.

    I created a catch all rule, placed it at the bottom of the packet filter rules, and set the logging option to not log. Basicly, it drops everything not explicitly allowed elsewhere.

    Works so far, but I would rather have the NAT handle the ACK FIN / FIN ACK and ACK RST / RST ACK packets correctly. Or know what I did to break the ASG's NAT. 


    Jim

    P.S. Does anyone have a clue as to why I have this problem?
  • 0 in reply to Jim Tagert
    Strange that a PF rule would help, as Astaro has a default logdrop PF rule.

    Barry
  • 0 in reply to BarryG
    Yea, I thought so too. That is what is strange.  I'll keep experimenting until I can stop and then repeat the problem. 

    Have you placed a sniffer in front of your ASG to watch traffic?

    If anyone has any ideas, please let me know...

    Jim
  • 0 in reply to Jim Tagert
    I'm running tcpdump on Astaro against the EXT interface now
    tcpdump -ni eth0 net 192.168.0.0/16
    so far I just see the cable modem (most modems have a management internal address of 192.168.100.1) arp requests.

    I don't know where my hub is right now so I can't setup an independent sniffer.

    Barry
Cookie Information Banner