Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 1603 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPS only logs from traffic to ip adres of the utm server

marco.marti
Hi all,

I just got the UTM home edition running for a week and i am very pleased about the product. it does a good job of protecting my internal network.

i have one question about the IPS though which i cannot figure out by myself.

UTM server config
External WAN = 192.168.2.12/24
Internal LAN = 10.10.11.251/24

globas ips settings. internal network (10.10.11.0/24)

i ran several nmap scans via kali linux, i even did a complete attack against all hosts in the network via metasploit and the strange thing is that de IPS detects only some minimal traffiic to 10.10.11.251 (the ip adres of the utm server) syn flood.

in short
snort isnt detecting anything in my network and if it does it only detects and logs it for the 10.10.11.251 as destination and thats is the ip adres of the UTM server itself. 

When i do a portscan i get syn flood detection (no portscan)for the 10.10.11.251 but nothing for others hosts in the network.

does anybody have an idea what i am missing here?


This thread was automatically locked due to age.
  • 0
    Hi, Marco, and welcome to the User BB!

    Basic networking.  Say your kali Linux box wants to send a message to 10.10.11.5.  Within the local subnet (10.10.11.0/24), the NIC will do an ARP request for the MAC address of the local IP and then send the message directly to that MAC address.  Only if the IP address is outside the local subnet will the NIC send the message to the default gateway (10.10.11.251).

    Cheers - Bob
  • 0
    Hi Bob,

    Ok so i have this situation for example.

    linux box at 10.10.11.111
    windows 7 at 10.10.11.112
    xp  at 10.10.11.113

    gateway is 10.10.11.251


    i then launch a portscan from the linux machine at 10.10.11.111 to all hosts in the network 10.10.11.0/24 it shows only an entry in the log for the 10.10.11.251. so this is correct?

    how can i detect a portscan for example to other hosts in this network then. is there a way to test this?

    thanks!
  • 0
    Hi, the firewall cannot see internal traffic as it only traverses your switch, not your firewall.

    Try scanning from outside the firewall.

    Barry
  • 0
    Hi Barry,

    Off course! you are completely right. how could i miss this :-S

    i did a scan from outside the subnet and it picked up a portscan succesfully on the gateway of the target subnet.

    thanks for clearing this up guys!

    Cheers

    Marco