我们有一个 sonicwall tz 系列固件,连接了两个互联网服务提供商。
其中一家供应商提供的无线服务有点像以太网交换机,因为我们有一个带有 /24 子网的 ip,网关是 .1。同一子网(例如 195.222.99.0)上的所有其他客户端都具有相同的 .1 网关 - 这很重要,请继续阅读。
我们的一些客户也在同一个子网上。
我们的配置:
- X0 : 局域网
- X1:89.90.91.92
- X2 : 195.222.99.252/24 (GW 195.222.99.1)
X1 和 X2未连接,只是都连接到公共互联网。
客户端配置:
- X1 : 195.222.99.123/24 (GW 195.222.99.1)
什么失败,什么有效:
- 流量 195.222.99.123(客户端)<-> 89.90.91.92 (X1):欺骗警报
- 流量 195.222.99.123 (client) <-> 195.222.99.252 (X1) : OK - 没有欺骗警报
我有几个 IP 地址在 195.222.99.0 范围内的客户端,并且都引发了相同的警报。
这是我在 FW 上看到的警报:
Alert Intrusion Prevention IP spoof dropped 195.222.99.252, 21475, X1 89.90.91.92, 80, X1 MAC address: 00:12:ef:41:75:88
我的 FW 上的所有端口的反欺骗已关闭(网络->mac-ip-反欺骗-> 每个接口的配置)
我可以通过从客户端远程登录到 X1 上的端口来触发警报。
你不能反驳逻辑——这是可疑的流量。X1 正在接收源 IP 对应于 X2 子网的流量。
任何人都知道我如何告诉 FW src 子网为 195.222.99.0 的数据包可以合法地出现在 X1 上?
我知道出了什么问题,我以前也见过同样的事情,但是对于更高端的固件,您可以通过一些额外的规则来避免这种情况。我在这里看不到如何做到这一点。在你问我们为什么使用这个服务提供商之前——他们给了我们路由器之间 3 毫秒(是的 3 毫秒,这不是错误)的延迟。
登录 sonicwall 后,通过在 URL 中添加“diag.html”进入诊断界面(如果您访问路由器
https://192.168.5.1,请转到https://192.168.5.1/diag.html)您会收到一条警告,提示您可以破坏内容,单击左侧菜单上的“内部设置”继续。向下大约三分之一处,您会看到一个用于禁用 IP 欺骗检测的复选框。
取消选中该框,看看是否有所不同。
您是否将两个连接(X1 和 X2)连接到同一个广播域(例如,它们是否都插入了同一个交换机?这可能会导致欺骗消息)。将每个连接保持在自己的广播域中。
如果不是这种情况,X2 的流量如何到达 X1 接口?