DoS protection blockt internen Traffic

Bernd79 · Beitrag von **Bernd79** » 23 Jun 2008, 14:28

Hallo zusammen!
folgende Konstellation: 8011 in Hauptstelle und 17 Aussenstellen mit 1711/1721. In der Hauptstelle befindet sich ein Antivirenmanagement-Server, der ab und zu zu Wartungszwecken heruntergefahren werden muss.
Wird das durchgegführt, wird vom 8011er eine possible Syn flooding attack von den Clients erkannt und die Verbindung wird zurückgewiesen. Die Kommunikation wird geblockt.
Wie kann ich das unterbinden? Kann ja nicht jedesmal den 8011er frisch booten, damit alles nach Neustart des Servers wieder normal funktioniert.

mfg
Bernd

suvuk · Beitrag von **suvuk** » 25 Aug 2008, 16:10

Hi!
Was ähnliches tritt hier auch auf bei nem 1711. Alle paar Tage in unregelmäßigen Abständen erhalte ich folgende Meldung:

Code: Alles auswählen

Date: 8/25/2008 13:18:24

The packet below

Src: xxx.xxx.xxx.xxx {STH01}  Dst: xxx.xxx.xxx.xxx {STH01} (ICMP)

MAC-Header (14 Bytes)

   02 a0 57 12 9d 81 00 30  88 01 7f 39 08 00       | ..W....0 ...9..  

IP-Packet (56 Bytes):

   45 00 00 38 44 fd 00 00  3b 01 b1 f8 91 fd b2 6a | E..8D... ;......j
   91 fd b2 6a 03 01 f4 8c  00 00 00 00 45 00 00 9c | ...j.... ....E...
   ab e1 00 00 3b 11 4a a0  91 fd b2 6a 91 fd b2 6a | ....;.J. ...j...j
   00 35 44 55 00 88 c3 5f                          | .5DU..._         

matched this filter rule: DoS protection
filter info:              packet with same source and destination address received from interface INTERNET

because of this the actions below were performed:
   reject
   send syslog message
   send SNMP trap
   send email to administrator

Das xxx.xxx.xxx.xxx ist in beiden Fällen die WAN-IP des Routers. Das wiederholt sich dann im Minutentakt und man hat keinen Zugriff auf DMZ, Internet oder das WEB-Interface des Routers. Abhilfe schafft nur ein Neustart des LANCOMs. Anschliessend ist dann auch wieder für mehrere Tage Ruhe.

Weiss jemand Abhilfe?

Gruß
Sven[/code][/quote]