服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 如何避免sonicwall TZ系列防火墙上的入侵检测/防欺骗问题
Intereting Posts
指向www CDN(Akamai) 阻止,过滤或减less“小报”垃圾邮件(绕过垃圾邮件刺客的电子邮件)? iPhone和交换机,我错过了什么? Windows Server 2012R2作为附加域控制器与Server 2008R2一起失败 如何在Windows和Linux之间进行模式转储 哪个更安全的“应急”Ubuntu的sudo用户的方法? SELinux:获得一个自定义的二进制文件切换到另一个上下文 nftables桥匹配本地数据包 403从apache2禁止 我应该转移到VPS还是专用服务器? 如何安全地从您的应用程序发送日志? 是否可以在不使用远程打印机队列的情况下从AIX服务器上打印到联网的Windows打印服务器上? 备份数据库的最佳实践 发送给我们论坛的一些Gmail用户订阅者的电子邮件被拒绝,代码为5.7.1 – 我们如何解决这个问题? 在两台不同的计算机之间共享一台显示器和input设备(鼠标和键盘)

如何避免sonicwall TZ系列防火墙上的入侵检测/防欺骗问题

我们有一个连接两个互联网服务提供商的sonicwall tz系列FW。

其中一个提供商有一个无线服务,有点像一个以太网交换机,我们有一个IP / 24子网和网关是.1。 同一子网上的所有其他客户端(比如195.222.99.0)具有相同的.1网关 – 这一点很重要,请继续阅读。

我们的一些客户也在同一个子网上。

我们的configuration:

  • X0:Lan
  • X1:89.90.91.92
  • X2:195.222.99.252 / 24(GW 195.222.99.1)

X1和X2 没有连接,除了连接到公共互联网。

客户端configuration:

  • X1:195.222.99.123/24(GW195.222.99.1)

什么失败,什么工作:

  • stream量195.222.99.123(客户端)< – > 89.90.91.92(X1):欺骗警报
  • stream量195.222.99.123(客户端)< – > 195.222.99.252(X1):OK – 没有欺骗警报

我有几个IP地址在195.222.99.0范围内的客户端,都会引发相同的警报。

这是我在FW上看到的警报: 

Alert Intrusion Prevention IP spoof dropped 195.222.99.252, 21475, X1 89.90.91.92, 80, X1 MAC address: 00:12:ef:41:75:88

所有端口的FW(networking – > mac-ip-anti-spoofing – >每个接口的configuration)closures反欺骗

我可以通过从客户端到X1的端口来引发警报。

你不能与逻辑争论 – 这可疑的交通。 X1正在接收与X2s子网对应的源IP的stream量。

任何人都知道我怎么能告诉FW,在s1上有一个195.222.99.0的src子网的数据包可以合法的出现在X1上?

我知道最近出了什么问题,我以前也见过类似的情况,但对于更高端的FW,可以通过一些额外的规则来避免这种情况。 我看不到如何在这里做到这一点。 而在你问我们为什么要使用这个服务提供商之前,他们给我们提供了3ms(也就是说不是错误)的路由器之间的延迟。

login到sonicwall后,通过在URL中添加“diag.html”进入诊断界面(如果您通过https://192.168.5.1访问路由器, https://192.168.5.1转到https://192.168.5.1/diag.html

您会收到一条警告,提醒您可以解决问题,然后点击左侧菜单上的“内部设置”继续。 大约三分之一的时间,你会看到一个checkbox来禁用IP欺骗检测。

截图

取消选中框,看看是否有所作为。

你有两个连接(X1和X2)连接到同一个广播域(例如,它们是否插入同一个交换机?这可能会导致恶搞消息)。 保持每个连接在自己的广播域。

如果不是这样的话,X2到达X1接口的stream量是多less?