Hallo,
wir haben hier eine Securepoint 2007nx grade frisch eingerichtet.
Das System hat insg. 10 NICs (2 onboard, 2 Quad-Karten (Intel PRO1000GT)).
Auf irgendeine Art und Weise scheint die Trennung der Netze nicht wirklich zu funktionieren.
eth1 (internal): 192.168.79.0/24
eth3 (dmz2): 192.168.81.0/24
Clients im .79er Netz haben 192.168.79.1 als Gateway. (fw-internal)
Clients im .81er Netz haben 192.168.81.1 als Gateway. (fw-dmz2)
Für beide Netze wird Hide-NAT, Relationship eth0, Destination any gemacht.
Wenn ich mir die Logs der Maschine anschaue, sehe ich zahlreiche Einträge, die zeigen, dass Pakete aus dem .79er Netz auf eth3 landen (IN=eth3), aber es kommt auch andersrum vor.. (.81er Netz auf eth1 (IN=eth1))
Dies betrifft auch Broadcast-Pakete.
Das Ganze tritt regelmässig im Abstand mehrerer Minuten bei unterschiedlichsten Clients auf, kann dann aber auch stundenlang wieder korrekt laufen. Wenn die Pakete einmal am falschen Interface ankamen, dauert es ein paar Sekunden bis 5 Minuten, bis die Situation wieder normal läuft. Innerhalb dieses Zeitraums ist von der Maschine keinerlei Zugriff nach aussen möglich..
Jan 11 11:08:33 192.168.79.1 Firewall DROP IN=eth3 OUT=eth0 SRC=192.168.79.119 DST=62.146.40.164 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=8844 DF PROTO=TCP SPT=2457 DPT=443 WINDOW=16384 RES=0x00 SYN URGP=0
Jan 11 11:41:38 192.168.79.1 Firewall DROP IN=eth3 OUT= MAC=ff:ff:ff:ff:ff:ff:00:30:48:87:1b:42:08:00 SRC=192.168.79.25 DST=192.168.79.255 LEN=78 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=137 DPT=137 LEN=58
Jan 11 11:42:07 192.168.79.1 Firewall DROP IN=eth3 OUT=eth0 SRC=192.168.79.100 DST=87.248.112.7 LEN=48 TOS=0x00 PREC=0x00 TTL=127 ID=41519 DF PROTO=TCP SPT=1526 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
Die Netzwerke sind vollkommen physikalisch getrennt.. Der erste Berührungspunkt ist in der Firewall selbst, wo eben auf 2 NICs derselben Karte gesteckt wird.
Hat jemand einen Hinweis, was da los ist ? Bin ein bisschen ratlos, wie das zustandekommen kann, es sei denn die Hardware wird nicht komplett unterstützt oder ist fehlerhaft, oder der Kernel hat an sich ein Problem mit MultiNIC-Karten? :roll:
Gruß, Christof
