Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 6068 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

[9.000-8] VLAN switch NTP requests blocked by spoof protection

BarryG
Hi,

At home, my LAN switch is a NetGear GS108T (hardware version 1.0.0.1, firmware 3.0.4.10) with 3 VLANs running (configured in Astaro):
LAN (192.168.11.0/24)
DMZ (192.168.210.0/24)
WiFi LAN (192.168.211.0/24)

Looking at the PacketFilter logs, I see that there are a lot of dropped packets from the switch to UDP port 123 (NTP) to the firewall (the switch is configured to use the firewall for NTP), and that they are dropped as SPOOFED.

I was previously running v7 (briefly ran v8 to convert the config file for v9), and never noticed the switch triggering the spoofing protection before. 

packetfilter-2012-07-31.log.gz:2012:07:31-23:56:19 fw ulogd[4292]: id="2005" severity="info" sys="SecureNet" sub="packetfilter" name="IP spoofing drop" action="IP spoofing drop" fwrule="60008" initf="eth1.11" srcmac="0:1e:2a:cc:34:8e" dstmac="0:24:21:2e:63:f5" srcip="192.168.11.4" dstip="192.168.11.1" proto="17" length="76" tos="0x00" prec="0x00" ttl="255" srcport="4514" dstport="123"


The IP and MAC addresses are correct for the switch (192.168.11.4 is the management IP) and the firewall,
BUT the interface is wrong (eth1.11 is the .211 VLAN for WiFi); the .11 LAN interface should be eth1.13.

So, is the Netgear tagging the NTP traffic with the wrong VLAN?

Thanks,
Barry


This thread was automatically locked due to age.
  • 0
    Spoof Protection is set to 'Normal', btw.

    Barry
  • 0
    What is your netgear reporting? I had the same issue with GS108tv2 where my netgear was reporting a KoD packet
  • 0
    Your guess about the NetFear (funny typo, left it in) may be correct; we have about 8 VLANs all with NTP access configured on a production box running 9.001, and have not seen these kinds of drops -- the only NTP drops we see are to external (internet) based NTP servers (we don't have an allow rule for that).  This is connected to a "swarm" of HP V1910 switches (formerly 3COM 29xx series).
  • 0 in reply to wingman
    What is your netgear reporting? I had the same issue with GS108tv2 where my netgear was reporting a KoD packet


    What error level was that? I didn't have some of the error levels enabled to log in the netgear, but there's nothing in the log since just after the last bootup.

    Were you able to figure out a fix or workaround?

    I ran tcpdump, and hit 'apply' on the netgear's ntp page, and the packets are coming in on the right vlan at the moment, and the firewall is responding, so I guess it's intermittent.

    Thanks,
    Barry
  • 0
    With more logging enabled on the switch, I now see lots of SNTP failures, and a few successes.

    I don't see any KoD messages though.

    Barry
  • 0
    Is it possible that you have the interface in promiscuous mode?
  • 0
    The astaro interface(s)? 
    I don't think so. ifconfig doesn't show that they are, but then again, even if I run tcpdump, I still don't see ifconfig showing it.

    dmesg shows 
    device eth1 entered promiscuous mode
    when I start tcpdump, and
    device eth1 left promiscuous mode
    when I stop it.

    Also, I hadn't run tcpdump on v9 until yesterday.

    However, there's no more spoofs in the logs since I upgraded to 9.001 (and rebooted).
    I also messed around with NTP settings in the switch, so it's possible it reset itself.

    Thanks,
    Barry
  • 0
    Still plenty of "SNTP query for server 192.168.11.1 failed" messages in the netgear log though.

    tcpdump currently shows Astaro isn't responding to the NTP requests, though nothing is appearing in the IPS log:

    fw:/var/log # tcpdump -p -n -i eth1 port 123 and src or dst 192.168.11.4
    tcpdump: WARNING: eth1: no IPv4 address assigned
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on eth1, link-type EN10MB (Ethernet), capture size 96 bytes
    22:41:25.073018 IP 192.168.11.4.1812 > 192.168.11.1.123: NTPv4, Client, length 48
    22:41:49.078949 IP 192.168.11.4.1813 > 192.168.11.1.123: NTPv4, Client, length 48
    22:42:13.084900 IP 192.168.11.4.1814 > 192.168.11.1.123: NTPv4, Client, length 48
    22:42:37.090818 IP 192.168.11.4.1815 > 192.168.11.1.123: NTPv4, Client, length 48

    If I change the tcpdump interface to an individual VLAN interface, I can see that the NTP traffic is still on the wrong VLAN.
    Makes me wonder why it's not in the IPS log anymore though; did something change in the spoof protection in 9.001?

    Thanks,
    Barry