Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 3 replies
  • Subscribers 2 subscribers
  • Views 1166 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Spoofed packets are not... internal system blocked

SalishSwede
The source of the problem is VMWare related... not Astaro. 
Please disregard.


This thread was automatically locked due to age.
  • 0
    I think I found something.

    From the DHCP logs:
    2010:01:19-17:21:58 wahine dhcpd: DHCPREQUEST for 10.1.3.48 from 00:0c:29:a7:6b:16 (xp) via eth1
    2010:01:19-17:21:58 wahine dhcpd: DHCPACK on 10.1.3.48 to 00:0c:29:a7:6b:16 (xp) via eth1
    2010:01:19-17:21:58 wahine dhcpd: DHCPREQUEST for 10.1.3.48 from 00:0c:29:a7:6b:16 (xp) via eth2: wrong network.
    2010:01:19-17:21:58 wahine dhcpd: DHCPNAK on 10.1.3.48 to 00:0c:29:a7:6b:16 via eth2

    This shows the 10.1.3.48 device on both eth1 and eth2.
    In fact all DHCP traffic seems to be echoed on both eth1 and eth2.
    I don't have a hub on my network.
    How is this possible?

    Basic topology:

      Comcast ----Cable Modem----ASL [Virtual Machine] on VM Ware
                                                   |
                                                 New Machine [VM on VMWare]

    I scanned my DHCP logs again and found that this duplicate traffic started happening at this time 2010:01:08-18:45:28.

    Checking the Up2Date logs I can find only this:
    2010:01:08-18:42:05 wahine audld[8903]: id="3701" severity="info" sys="system" sub="up2date" name="Authentication successful"
    2010:01:08-18:42:50 wahine audld[8903]: id="3707" severity="info" sys="system" sub="up2date" name="Successfully synchronized fileset" status="success" action="download" package="clam"
    2010:01:08-18:42:51 wahine auisys[8934]: Starting Up2Date Package Installer (Version 1.65)
    2010:01:08-18:42:51 wahine auisys[8934]: Searching for available up2date packages for type 'mpfc'
    2010:01:08-18:42:51 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="mpfc"
    2010:01:08-18:42:57 wahine auisys[8934]: Searching for available up2date packages for type 'ips'
    2010:01:08-18:42:57 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="ips"
    2010:01:08-18:43:02 wahine auisys[8934]: Searching for available up2date packages for type 'man-sw'
    2010:01:08-18:43:02 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="man-sw"
    2010:01:08-18:43:07 wahine auisys[8934]: Searching for available up2date packages for type 'avira'
    2010:01:08-18:43:07 wahine auisys[8934]: id="371D" severity="info" sys="system" sub="up2date" name="No up2date packages available for installation" status="failed" action="preinst_check" package="avira"
    2010:01:08-18:43:12 wahine auisys[8934]: Searching for available up2date packages for type 'clam'
    2010:01:08-18:43:12 wahine auisys[8934]: Installing up2date package file '/var/up2date//clam/u2d-clam-7.5065-5085.patch.tgz.gpg'
    2010:01:08-18:43:12 wahine auisys[8934]: Verifying up2date package signature
    2010:01:08-18:43:12 wahine auisys[8934]: Unpacking installation instructions
    2010:01:08-18:43:12 wahine auisys[8934]: Unpacking up2date package container
    2010:01:08-18:43:13 wahine auisys[8934]: Running pre-installation checks
    2010:01:08-18:43:13 wahine auisys[8934]: Starting up2date package installation
    2010:01:08-18:43:28 wahine auisys[8934]: id="371Z" severity="info" sys="system" sub="up2date" name="Successfully installed Up2Date package" status="success" action="install" package_version="7.5085" package="clam"
    2010:01:08-18:43:29 wahine auisys[8934]: New Pattern Up2Dates installed

    Does this make any sense?
    This looks to me like a simple virus update.
    Could this have messed with the network config?

    Thanks,

    ~Doug
  • 0
    Please note, the diagram above of my topology is a mess because this web site compresses or eliminates what it feels are extra spaces.
    Don't bother trying to figure the diagram out.  Basically I have a VMWare hypervisor running the new machine that is blocked from the internet.  Other machines, however are showing duplicate entries in the DHCP logs.  All machines are on my internal network and these spoofing errors started happening on the 8th as described above.  I've made no changes to the network topology so this probably isn't related to such changes.  The Astaro Update above did occur seconds before the spoofing errors began.  This is  the principal suspect.
  • 0
    so how do you remove the alarm from the Packet Filter rules? I just removed my ESX Version and installed Astaro on a HP DL380 - G3 box and I am still seeing the same behavior so I do not believe this is related to VMWare.