CheckPoint - Debug Anti-Spoofing
Alasta 9 Juillet 2016 checkpoint checkpoint cli log anti-spoofing
Description : Debug Anti-Spoofing
Lors d'Anti-Spoofing dans le SmartLog/SmartTracker, il est parfois difficile d'identifier la source du problème.
- Le flux n'est pas vu dans le fw monito
- Le flux est vu dans le tcpdump mais sans MAC destination
- vu en zdebug drop
1 [Expert@Gaia:0]# fw ctl zdebug + drop | grep '192.168.1.1'
2 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
3 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
4 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
5 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
A regarder
- s'il n'y a pas un réseau sur une des interfaces/topologie du FW
- s'il n'y a pas de route connue pour le réseau source
- si le réseau n'est pas inclus dans une déclaration Anti-Spoofing