Constant steam of spoofed packets

Can you show us a few of the spoofed packets?

On the 'Packet Filter' 'Advanced' tab, what is the 'Spoof protection' setting?

Cheers - Bob

Spoofing is set to Normal. Here are some records from the packet filter log: I zero'd the mac addresses, but each spoof is from aand to a different mac/ip

2010:07:28-00:00:16 HotardNO ulogd[3291]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" seq="0" initf="eth4" dstmac="00000000000" srcmac="00000000000" srcip="10.9.x.x" dstip="255.255.255.255" proto="17" length="328" tos="0x00" prec="0x00" ttl="128" srcport="67" dstport="68" 
2010:07:28-00:00:16 HotardNO ulogd[3291]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" seq="0" initf="eth4" dstmac="00000000000000" srcmac="0000000000000" srcip="10.9.x.x" dstip="255.255.255.255" proto="17" length="328" tos="0x00" prec="0x00" ttl="128" srcport="67" dstport="68" 
2010:07:28-00:00:17 HotardNO ulogd[3291]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" seq="0" initf="eth4" dstmac="0000000000000" srcmac="000000000000" srcip="10.9.x.x" dstip="255.255.255.255" proto="17" length="276" tos="0x00" prec="0x00" ttl="64" srcport="68" dstport="67" 
2010:07:28-00:00:20 HotardNO ulogd[3291]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" seq="0" initf="eth4" dstmac="000000000000" srcmac="000000000000000" srcip="10.9.x.x" dstip="192.168.x.x" proto="1" length="44" tos="0x00" prec="0x00" ttl="255" type="8" code="0"

Those are bootp/DHCP and ping requests.  What's your network setup?

Not sure what you want re network setup. I have an asg220 connected to a T1. Internal 10 net is connected to a netgear switch with a fiber link to the location of the Windows Server 2003 PDC and most of the user PC's. Another port is connected to a 192 net with security cameras. I also have 3 branch offices that connect via site to site VPN.

Is your internal 10 network set up with the default /8 class A netmask, and are any of your devices using 10.9.0.0/16?

If you are configured for the full Class A, then there's potentially a large amount of overlap if your ISP chooses to use another portion of the same subnet for their own devices (a common practice among cable providers who often use 10. addresses for the cable-facing interfaces on their modems and cable boxes), and if the Astaro see that traffic on the "wrong" interface, it'll flag it as spoofed.  You might try reducing the netmask to include only the portion that you're using, e.g. 10.1.100.0/24 or 10.3.0.0/16

I can't see from your log lines if there might be a configuration error that is causing packets from a device in 10.9.x.x to 192.168.x.x to get sent to the wrong interface.  Can you look at the unexpurgated version and make an observation about that?

Along the lines of Jetkins' question, are both of these IPs in subnets of yours?

Those packets to the broadcast address (255.255.255.255) on ports 67/68 - does anyone know if that's something trying to get DHCP?

Cheers - Bob

Those packets to the broadcast address (255.255.255.255) on ports 67/68 - does anyone know if that's something trying to get DHCP?

As I hinted earlier, I believe that's exactly what they are.  Specifically, sport 67 dport 68 dest 255.255.255.255 are almost certainly DHCP Offers, and the sport 68 dport 67 reply will be a DHCP ACK.  The DHCP Discover and DHCP Request packets from the client won't show up because it does not have any IP address at that point, let alone one that matches the internal subnet.

Yes, I must have seen that before and forgotten your comment.  Thenks!

Cheers - Bob