IP SPOOFING

par **---rv---** » 31 Déc 2005 16:55

Bonjour,
... et mes voeux de bonne année pour tous !

J'aimerai vous soumettre un problème qui (je pense) relève du fonctionnement de SME et non de la sécurité de mon réseau domestique.

Ci-dessous un extrait des log quotidien de mon firewall :

Fri, 2005-12-16 15:48:55 - IP packet - Source:192.168.XXX.XXX,,LAN - Destination:209.172.40.7,WAN [Drop] - [Ip Spoofing]
Fri, 2005-12-16 17:28:04 - IP packet - Source:192.168.XXX.XXX,,LAN - Destination:70.84.44.104,WAN [Drop] - [Ip Spoofing]
Fri, 2005-12-16 17:28:57 - IP packet - Source:192.168.XXX.XXX,,LAN - Destination:67.15.119.199,WAN [Drop] - [Ip Spoofing]
Fri, 2005-12-16 17:30:00 - IP packet - Source:192.168.XXX.XXX,,LAN - Destination:212.162.1.195,WAN [Drop] - [Ip Spoofing]
Fri, 2005-12-16 17:33:09 - IP packet - Source:192.168.XXX.XXX,,LAN - Destination:67.19.209.244,WAN [Drop] - [Ip Spoofing]
etc .....

ma config est la suivante :

FREEBOX V4 DEGROUPE en mode routeur NAT redirige qlqs port sur l'IP EXTERNE du FIREWALL
I
FIREWALL NETGEAR redirige qlqs ports sur l'IP EXTERNE de SME
I (mode serveur DHCP et addresse IP EXTERNE de SME inscrite dans Reserved IP table)
I
SME 7.0BETA9I
I (mode serveur et passerelle, DHCP enable)
SWITCH NETGEAR
I--
I--
I-- 4 PC (XPproXP2 firewall MS + AVAST4 à jour + un p'tit coup de ADAWARE chaque semaine)
(mode IP automatique par SME : 192.168.XXX.XXX est compris dans l'intervalle d'adresse du DHCP).

J'imagine (à défaut de savoir il ne me reste que ça) que le FIREWALL détecte en fait un de mes PC client qui par le PROXY utilise l'IP externe de SME.

Si c'est ça ou quelque chose d'approchant : ce n'est donc pas grave docteur ?

En revanche, le packet ne passe pas (Drop)
Ce qui devrait "géner" le surf depuis les postes clients, or il n'en est rien (ou alors on s'en rends pas compte), C'est possible cà ?

@ vous lire
Cette année ou l'an prochain c'est vous qui voyez !

par **---rv---** » 01 Jan 2006 22:16

Puisque ce qui m'a alerté c'est les log de mon firewall, je suis allé voir du côté de NETGEAR FANS.

Hors les pb de VPN, il y a peu de post sur cette alerte sauf une avec cette réponse :
...] Le routeur détecte sur son interface interne une machine ayant une IP en 169.254.. essayant de faire du multicast (destination 255.255.255.255) pour trouver le serveur DHCP rien de plus.
Cela n'apparait que si le serveur DHCP met du temps à répondre à la requette DHCP du PC. [ ...

Cependant, dans mon cas :

1- la source est le LAN = oui ;

2- l'IP de la machine est bidon (il s'agit d'une IP attribuée par windows lorsque la machine paramétrée pour obtenir dynamiquement ses paramètres réseau n'arrive pas à joindre le serveur DHCP) = non, il s'agit bien d'une IP attribuée par SME (plan d'adressage du DHCP de SME) ;

3- le PC "fautif" est connecté directement au firewall = non, les machines ayant ce type d'IP EXTERNE ne sont pas connectées au firewall mais à SME (coté LAN) ; et l'IP EXTERNE de SME (coté WAN) qui est physiquement reliée au firewall n'est pas dans ce plan d'adressage.

Bref, pourquoi est-ce qu'une machine ayant reçu ses paramètres réseaux de SME continue de chercher ?
Pourquoi ces "appels" passent "au travers" de SME pour être bloqués par le firewall ?
Pourquoi ça ne semble pas affecter le fonctionnement ?

2005 n'a pas répondu à ces questions, 2006 en a déjà les cheveux qui poussent à l'intérieur du crane.

@+

par **sibsib** » 01 Jan 2006 22:38

Hello,

Il se pourrait qu'il s'agisse simplement d'une tentative d'utilisation de ton firewall comme redirecteur de paquet :

Certains paquets peuvent arriver à ta machine depuis Internet avec une adresse source 'forgée' qui peut être du type 192.168.x.y
Il a existé des routeurs mal faits qui pensaient que, bien que le paquet était arrivé par l'interface externe, comme l'IP source etait valide du point de vue Interne, alors le paquet était routé. Ce serait typiquement de l'IP SPOOFING.

Par contre, il me parait inquiétant que la freebox ait laissé passer çà :-(

Ce serait vraiment un routeur assez moyen...

Ceci veut peut-être dire qu'il faudrait approfondir un peu. D'ailleurs : Quel intérêt d'avoir mis la freebox en mode routeur si tu colles un autre routeur derrière (C'est une vraie question, pas une manière déguisée de te dire de ne pas faire ainsi : Je ne le ferais pas - c'est contraire à mes principes :-D

mais il est probable que j'aie tort).

A+,
Bonne année,
Pascal

par **---rv---** » 02 Jan 2006 10:26

[quote="sibsib"]Hello,
Quel intérêt d'avoir mis la freebox en mode routeur si tu colles un autre routeur derrière

L'idée était de reproduire le fameux "ceinture ET bretelles" :
1- La FREEBOX en mode routeur NAT ne fait suivre que le minimum de ports nécessaire, les autres ports sont invisibles ;
2- Le NETGEAR en tant que FIREWALL avec ses règles INBOUND et OUTBOUND ;
3- SME en passerelle et serveur (accès IPSEC seulement)

J'ignore le bénéfice précis tiré de ce cumul ... qui a priori n'est pas nuisible.
(J'ai lu des post où il était conseillé de cumuler des protections de natures différentes ; et d'autres où il était déconseiller de créer un espace entre deux murs ... bref, des débats d'experts assez mouvementés desquels nulle solution définitive n'est sortie - de ce que j'en ai compris bien sûr).

Que FREEBOX ait "laissé passé" un packet routé est peu probable, de toute manière NETGEAR indique une source LAN (il ne peut pas se tromper).

A mon avis c'est soit windows (machines clientes) qui cherche en vain je ne sais quoi, ou alors une vilaine bébètte du type spyware non détectée par LAVASOFT.

Je n'ai que 4 PC à la maison, je vais donc entrer en dur les IP
et voir si les messages persistent ;
=> ce sera la preuve que c'est autre chose que windows et qu'il faut encore chercher.
(à défaut c'est la faute à MS donc plus de pb).

@+

par **---rv---** » 02 Jan 2006 23:20

Comme annoncé, j'ai viré "obtenir IP automatique" et saisi sur chaque PC une IP "manuelle" (dans un nouveau plan d'adressage) ...

Cependant j'ai à nouveau dans les logs du firewall :
Mon, 2006-01-02 22:41:06 - IP packet - Source:192.168.xxx.66,LAN - Destination:66.249.93.99,WAN [Drop] - [Ip Spoofing]
Or, 192.168.xxx.66, c'est bien mon PC donc il ne s'agit pas de windows qui cherche le serveur DHCP.

J'en reviens donc à ma question d'origine est-ce ce n'est pas le proxy transparent qui est pris pour du spoofing :
- SME emet un packet sous l'IP du PC client (exemple 192.168.XXX.66) ;
- or le firewall reconnait l'adresse MAC de SME qui est enregistré dans sa "reserved IP table" avec une autre adresse IP (exemple 192.168.YYY.2) ;
=> IP SPOOFING (dans ma logique perso. ça semble crédible) NON ?

Bon je vais virer l'enregistrement "reserved IP table" du firewall pour voir.

@+

par **sibsib** » 03 Jan 2006 22:44

Hello,

Cà me parait une piste à creuser, mais :
1) ton serveur SME est bien en mode server only, non ? Dans ce cas il me semble que les proxy transparents ne sont pas actifs (attention : pas sûr du tout, je travaille quasi toujours en server & gateway)
2) Il faudrait être sûr que ton firewall gère l'association IP/MAC (c'est rarement activé par défaut, mais vas savoir)

En tout cas, je suis le feuilleton avec beaucoup d'intérêt !

A+,
Pascal

par **---rv---** » 04 Jan 2006 10:39

Merci pour ton intérêt.

1) SME est activé en tant que SERVEUR ET PASSERELLE
(c'est la troisième et dernière barrière avant de s'introduire ...)

2) le FIREWALL gère effectivement l'association MAC/IP
(même si comme annoncé je supprime l'enregistrement Reserved IP, chaque poste dès qu'il se connecte est réferencé avec MAC et IP).

Je pense que la "compréhenssion" du proxy transparent de SME, je dois le régler dans la programmation du firewall ;
En revanche, en modifiant les règles OUTBOUND du firewall pour avoir plus d'infos sur le traffic, j'ai été surpris de voir SME aussi bavard ?

Je reprends donc ce soir mes recherches.

@+

par **---rv---** » 04 Jan 2006 22:50

Décidemment c'est curieux !

En résumé : jusqu'ici, seul le traffic entrant faisait l'objet d'une surveillance ; pourtant le traffic sortant n'est pas sans intérêt :
1- IP SFOOFING des IP client depuis le LAN ;
2- SME qui "bavarde" tout seul :

J'ai mis des règles OUTBOUND sur le firewall afin de :
1- laisser passer le trafic sortant depuis toute IP sur les ports 20, 21 (FTP) 22 (SSH) 25 (SMTP) 80 (HTTP) 119 (NNTP) 443 (HTTPS) 636 (LDAP) ;
2- bloquer tout ce qui n'a pas été accepté par la règle n°1 (port de 1 à 65535).

Le log de cette règle n°2 (tt ce qu'elle a bloqué donc) montre que SME envoi plusieurs fois par minute des paquets à :

66.240.40.33 , 2441 par le port UDP 34830 puis 34835 puis 34872 et ainsi de suite jusqu'à 34978

et à

65.151.150.22 , 2703 par le port TCP 36799 puis 36801 puis 36916 et ainsi de suite jusqu'à 37446.

(le traffic est aussi bloqué sur UDP 123 (NTP) puisque je l'ai oublié dans la règle 1).

Faut-il donc laisser à l'usage de SME les ports UDP 34830 et TCP 36799 pour le laisser librement joindre
66.240.40.33 , 2441 et 65.151.150.22 , 27.3 ??

De quoi s'agit-il ?

@+

par **sibsib** » 05 Jan 2006 22:48

Hello,

Quelques pistes :

Port TCP 2703 :
PORT 2703 - Information

Port Number: 2703
TCP / UDP: TCP
Delivery: Yes
Protocol / Name: sms-chat
Port Description: SMS CHAT
Virus / Trojan: No

Port UDP 2441
PORT 2441 - Information

Port Number: 2441
TCP / UDP: UDP
Delivery: No
Protocol / Name: pvsw-inet
Port Description: pvsw-inet
Virus / Trojan: No

Les deux adresses IP que tu donnes semblent être chez des particuliers.

pvsw-inet donne également 'pervasive inet protocol (c'est à dire rien pour moi)
SMS chat me semble plus parlant ;-)

A mon avis, le problème provient du proxy transparent de SME. JE ne pense pas que ces requêtes soient réellement à l'intiative de SME, mais que SME tnete de les relayer.

En fait, tu devrais refaire ton analyse, mais tous P.C. éteints chez toi, et après reboot de SME (ou tout du moins de squid).

D'autre part, pour ton IP spoofing : puisque tu as mis trois filtres (SME en troisième) et que SME est (normalement) configuré pour faire du NAT, ton proxy ne devrait voir qu'une seule IP : celle de SME et une seule MAC : celle de SME. Si, dans certains cas, SME laisse passer des IPs provenant de derrière lui, alors oui, je suppose que ceci peut amener le genre de message que t'envoie ton firewall.

Disons que pour comprendre un peu mieux, (et sans savoir si ceci m'amènerait à une réponse plausible) il faudrait avoir ton plan d'adressage IP complet, et également les message avec les IP marquées 'Spoofing' non masquées.
Mais surtout : connais tu les protocoles pour lesquels ces messages apparaissent ?

A+,
Pascal

par **---rv---** » 06 Jan 2006 14:35

Hi !

[En fait, tu devrais refaire ton analyse, mais tous P.C. éteints chez toi, et après reboot de SME (ou tout du moins de squid).]

=> Ok je fais ça ce soir.
Pour attendre : log à une heure ou a priori il n'y a aucune activité PC :
22:58:06 TCP Source:192.168.51.2 32806 LAN Destination:66.151.150.12 2703
22:58:16 UDP Source:192.168.51.2 32884 LAN Destination:66.250.40.33 24441
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:208.201.249.233 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:142.27.70.214 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:194.109.153.82 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:194.228.41.13 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:136.199.8.39 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:212.203.14.116 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:80.69.8.186 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:132.206.27.31 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:128.109.182.28 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:38.144.80.234 6277
22:58:21 UDP Source:192.168.51.2 32884 LAN Destination:216.240.97.12 6277
23:45:58 TCP Source:192.168.51.2 32808 LAN Destination:66.151.150.12 2703
23:46:09 UDP Source:192.168.51.2 32927 LAN Destination:66.250.40.33 24441
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:208.201.249.233 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:142.27.70.214 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:194.109.153.82 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:194.228.41.13 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:136.199.8.39 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:212.203.14.116 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:80.69.8.186 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:132.206.27.31 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:128.109.182.28 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:38.144.80.234 6277
23:46:14 UDP Source:192.168.51.2 32927 LAN Destination:216.240.97.12 6277

[Disons que pour comprendre un peu mieux, (et sans savoir si ceci m'amènerait à une réponse plausible) il faudrait avoir ton plan d'adressage IP complet, ]
FREEBOX - IP EXT XXX IP INT 192.168.0.1 - DHCP de 192.168.0.2 à 192.168.0.5
NETGEAR - IP EXT 192.168.0.2 IP INT 192.168.51.1 - DHCP de 192.168.51.2 à 192.168.51.5
SME - IP EXT 192.168.51.2 - IP INT 192.168.151.1 - DHCP désactivé de 192.168.151.65 0 192.168.151.250

[et également les message avec les IP marquées 'Spoofing' non masquées. ]
19:25:59 - Ip Spoofing - Source:192.168.151.67,0,LAN - Destination:217.174.201.101,0,WAN

@+

par **---rv---** » 07 Jan 2006 10:46

Hi,
Comme annoncé mes log en pleine nuit tous PC éteints.
(J'ai supprimé les règles OUTBOUNT du firewall pour suivre la totalité du traffic reproduiut dans mes log ; SME broadcast tant que je ne reproduit en dessous qu'un extrait)

Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,53452 ,LAN - Destination:209.234.97.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,36453 ,LAN - Destination:64.90.187.2,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,3826 ,LAN - Destination:192.35.51.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,46014 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,1820 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,37251 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,28074 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,36003 ,LAN - Destination:207.98.65.2,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,6317 ,LAN - Destination:198.108.1.43,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,64727 ,LAN - Destination:208.201.249.238,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,25637 ,LAN - Destination:128.193.0.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - TCP packet - Source:192.168.51.2,32811 ,LAN - Destination:66.151.150.22,2703 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,54498 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,36102 ,LAN - Destination:66.170.3.188,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,48628 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,9312 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,30301 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,15429 ,LAN - Destination:128.193.0.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,46361 ,LAN - Destination:207.98.65.2,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,20732 ,LAN - Destination:207.98.65.2,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,46291 ,LAN - Destination:139.130.4.5,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,63635 ,LAN - Destination:194.134.64.74,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,2920 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,36675 ,LAN - Destination:66.170.3.188,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,19333 ,LAN - Destination:147.28.0.39,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,60981 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,4387 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,32713 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,32293 ,LAN - Destination:203.15.51.34,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,62683 ,LAN - Destination:128.193.0.130,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,36565 ,LAN - Destination:209.142.2.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,8617 ,LAN - Destination:207.166.218.129,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,23918 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,30249 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,51957 ,LAN - Destination:192.0.34.126,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,21910 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,27912 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:01 - UDP packet - Source:192.168.51.2,7582 ,LAN - Destination:62.189.112.181,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,12875 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,4112 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,15754 ,LAN - Destination:209.234.111.50,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,45140 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,65350 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,40684 ,LAN - Destination:192.175.48.42,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,22655 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,41474 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,37543 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,39032 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,5877 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,30786 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,4979 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,41677 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,59717 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,41994 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,34712 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,12126 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,20589 ,LAN - Destination:202.12.27.33,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,58561 ,LAN - Destination:198.32.64.12,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,16129 ,LAN - Destination:192.41.162.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,12781 ,LAN - Destination:192.52.178.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,3228 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,44408 ,LAN - Destination:216.183.96.120,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,53491 ,LAN - Destination:216.183.97.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,61426 ,LAN - Destination:66.179.112.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,12497 ,LAN - Destination:193.51.208.14,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:02 - UDP packet - Source:192.168.51.2,64640 ,LAN - Destination:206.222.12.234,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:03 - UDP packet - Source:192.168.51.2,20118 ,LAN - Destination:64.92.165.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:03 - UDP packet - Source:192.168.51.2,20309 ,LAN - Destination:204.152.184.85,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:03 - UDP packet - Source:192.168.51.2,56219 ,LAN - Destination:64.251.27.187,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:03 - UDP packet - Source:192.168.51.2,45151 ,LAN - Destination:64.251.27.189,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:03 - UDP packet - Source:192.168.51.2,57858 ,LAN - Destination:80.74.69.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:03 - UDP packet - Source:192.168.51.2,30007 ,LAN - Destination:80.74.69.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:04 - UDP packet - Source:192.168.51.2,28158 ,LAN - Destination:69.49.127.34,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:04 - UDP packet - Source:192.168.51.2,57078 ,LAN - Destination:130.161.128.109,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:66.250.40.33,24441 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:208.201.249.233,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:142.27.70.214,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:194.109.153.82,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:194.228.41.13,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:136.199.8.39,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:212.203.14.116,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:80.69.8.186,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:132.206.27.31,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:128.109.182.28,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:38.144.80.234,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:05 - UDP packet - Source:192.168.51.2,32843 ,LAN - Destination:216.240.97.12,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:07 - TCP packet - Source:192.168.51.2,32813 ,LAN - Destination:66.151.150.22,2703 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:08 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:66.250.40.33,24441 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:208.201.249.233,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:142.27.70.214,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:194.109.153.82,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:194.228.41.13,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:136.199.8.39,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:212.203.14.116,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:80.69.8.186,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:132.206.27.31,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:128.109.182.28,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:38.144.80.234,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,32844 ,LAN - Destination:216.240.97.12,6277 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,3961 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,36581 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,3590 ,LAN - Destination:216.168.28.44,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,7388 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,12056 ,LAN - Destination:216.168.28.44,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,5019 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,35138 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,9783 ,LAN - Destination:204.69.234.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,40414 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:13 - UDP packet - Source:192.168.51.2,46403 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,40428 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,40034 ,LAN - Destination:216.168.29.65,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,48684 ,LAN - Destination:69.42.67.35,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,35247 ,LAN - Destination:213.178.208.246,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,54272 ,LAN - Destination:193.70.152.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,40606 ,LAN - Destination:216.168.29.66,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,41840 ,LAN - Destination:212.166.186.35,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,26494 ,LAN - Destination:193.70.152.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,41133 ,LAN - Destination:212.227.123.45,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,5330 ,LAN - Destination:171.66.2.21,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,47542 ,LAN - Destination:208.201.249.252,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,27554 ,LAN - Destination:204.74.101.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,14136 ,LAN - Destination:67.18.254.3,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,23262 ,LAN - Destination:209.142.2.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:03:14 - UDP packet - Source:192.168.51.2,30852 ,LAN - Destination:194.158.102.15,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:24:42 - UDP packet - Source:192.168.51.2,62650 ,LAN - Destination:213.92.8.2,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 02:33:56 - Send out NTP Request to 193.193.193.120
Sat, 2006-01-07 02:33:56 - Receive NTP Reply from 193.193.193.120
Sat, 2006-01-07 03:13:29 - UDP packet - Source:192.168.51.2,40547 ,LAN - Destination:204.74.113.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:29 - UDP packet - Source:192.168.51.2,5728 ,LAN - Destination:192.54.112.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:29 - UDP packet - Source:192.168.51.2,8592 ,LAN - Destination:213.186.33.102,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:30 - UDP packet - Source:192.168.51.2,17752 ,LAN - Destination:212.27.32.132,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:30 - UDP packet - Source:192.168.51.2,45949 ,LAN - Destination:213.186.33.102,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:31 - UDP packet - Source:192.168.51.2,35046 ,LAN - Destination:212.27.32.132,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:43 - UDP packet - Source:192.168.51.2,64206 ,LAN - Destination:69.10.169.115,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:43 - UDP packet - Source:192.168.51.2,13457 ,LAN - Destination:62.189.112.181,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:43 - UDP packet - Source:192.168.51.2,55424 ,LAN - Destination:128.112.129.15,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,43078 ,LAN - Destination:209.204.159.28,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,57195 ,LAN - Destination:194.165.93.146,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,45648 ,LAN - Destination:209.142.2.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,34251 ,LAN - Destination:192.26.92.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,57251 ,LAN - Destination:216.183.97.53,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,19466 ,LAN - Destination:216.183.97.53,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,47805 ,LAN - Destination:209.208.0.96,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,45561 ,LAN - Destination:67.18.254.3,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,26165 ,LAN - Destination:69.28.95.74,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,32354 ,LAN - Destination:63.209.15.211,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,28456 ,LAN - Destination:209.200.151.4,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,65153 ,LAN - Destination:209.98.98.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,10396 ,LAN - Destination:209.98.98.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,9747 ,LAN - Destination:209.98.98.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,34704 ,LAN - Destination:66.6.205.130,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,34338 ,LAN - Destination:66.6.205.130,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,59081 ,LAN - Destination:206.67.234.112,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,51478 ,LAN - Destination:216.32.88.106,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,59234 ,LAN - Destination:192.150.22.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,23915 ,LAN - Destination:63.208.196.93,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,50648 ,LAN - Destination:212.27.32.132,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,48799 ,LAN - Destination:208.201.249.238,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,10886 ,LAN - Destination:209.97.199.116,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:44 - UDP packet - Source:192.168.51.2,20425 ,LAN - Destination:203.15.51.35,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,25189 ,LAN - Destination:209.97.199.116,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,58703 ,LAN - Destination:206.222.12.234,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,59884 ,LAN - Destination:206.222.12.226,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,41991 ,LAN - Destination:156.17.5.122,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,42050 ,LAN - Destination:193.163.220.59,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,7236 ,LAN - Destination:206.222.12.234,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,29891 ,LAN - Destination:209.59.139.12,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,49760 ,LAN - Destination:192.93.0.4,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,4878 ,LAN - Destination:203.15.51.35,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,1659 ,LAN - Destination:216.168.31.53,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,23616 ,LAN - Destination:216.168.31.53,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - ICMP Destination Unreachable packet - Source:192.168.51.2,LAN - Destination:203.15.51.35,WAN [Drop] - [Outbound rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,59478 ,LAN - Destination:130.161.180.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,12761 ,LAN - Destination:130.161.180.1,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,51707 ,LAN - Destination:203.15.51.35,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,12882 ,LAN - Destination:209.97.199.116,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,25491 ,LAN - Destination:194.109.9.6,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:45 - UDP packet - Source:192.168.51.2,18203 ,LAN - Destination:203.15.51.35,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,61941 ,LAN - Destination:216.168.31.53,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,50113 ,LAN - Destination:194.134.64.71,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,51725 ,LAN - Destination:192.43.172.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,44829 ,LAN - Destination:192.33.14.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,48491 ,LAN - Destination:192.31.80.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,27257 ,LAN - Destination:209.182.216.75,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,58458 ,LAN - Destination:204.152.184.64,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,18923 ,LAN - Destination:192.12.94.30,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,22716 ,LAN - Destination:209.209.1.20,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,28985 ,LAN - Destination:204.152.184.64,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,41005 ,LAN - Destination:194.109.9.11,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,33904 ,LAN - Destination:66.151.150.59,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:46 - UDP packet - Source:192.168.51.2,41988 ,LAN - Destination:209.209.1.20,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:47 - TCP packet - Source:192.168.51.2,32815 ,LAN - Destination:66.151.150.22,2703 ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:47 - UDP packet - Source:192.168.51.2,17888 ,LAN - Destination:194.134.64.74,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:47 - UDP packet - Source:192.168.51.2,19379 ,LAN - Destination:204.152.186.189,53[DNS] ,WAN [Forward] - [Outbound Default rule match]
Sat, 2006-01-07 03:13:47 - UDP packet - Source:192.168.51.2,47624 ,LAN - Destination:209.142.2.10,53[DNS] ,WAN [Forward] - [Outbound Default rule match]

Qu'en pensez vous ?

par **sibsib** » 07 Jan 2006 23:11

Hello,

Se peut-il que ton serveur SME rencontre quelques problèmes pour ses résolutions DNS ?

En effet, dans ton 'extrait' (195 lignes tout de même ;-)

), il y a 165 requêtes DNS, vers 91 machines différentes. Je ne vais pas renvoyer les résolutinos DNS de ces machines, mais on trouve pèle mele les serveurs root, un tas de serveurs DNS, des machines qui semblent être des machines ordinaires, et des IP sans DNS configurées.

En principe, si tu montes une architecture cascadée comme celle ci, il me semblerait plus logique de configurer SME pour confier ses résolutions DNS à une machine en amont (peut-être ton routeur). En effet, monter plusieurs filtres pour au final être obligé de laisser passer au travers des flux UDP, ce n'est peut-être pas le but !

Une fois que tes résolutions DNS seront diminuées, il faudra quand même comprendre ces (rares, 4 dans l'extrait) connexions de types MS-Chat et les connexions sur le port 6277.
(J'ai pas trouvé grand chose sur celui là, Google me parle de DCC - Distributed Checksum Clearinghouse)

Tu tombes dans la problématique (déjà débatue ici, oh combien) de l'inévitable complexification d'une sécurisation à plusieurs niveaux. Ceci dit, comme tu sembles décidé à avancer, ceci ne peut qu'être bénéfique, au moins pour connaitre mieux le comportement de SME.

A+,
Pascal

par **---rv---** » 09 Jan 2006 12:41

Bonjour,

j'ai eut d'autre soucis (crash du serveur) donc je ne reviens que maintenant.
l'analyse du traffic montre que lorsque je supprime les regles outbount, les messages dIP SPOOFING disparaissent et tout le traffic sortant indique bien l'IP de SME.

NETGEAR est bien la passerelle et serveur DNS pour SME

en fait ma regle sur le traffic sortant n'était pas bonne du tout, et on dirait que SME cherchait à la contourner

je laisse passer un peu de temps sur ce sujet mais j'envisage bien d'y revenir pour arriver à "contrôler et limiter" le traffic sortant au stricte minimum

merci
hervé

par **---rv---** » 11 Jan 2006 23:49

Bonsoir,

Je reviens avec mes questions sur le traffic sortant de SME que je résume ainsi :
1/ La force des choses m'a amené à construire une sécurité à 3 étges (routeurFREEBOX+firewallNETGEAR+passerelleSME) ;
2/ Les posts et conseils du forum m'ont amené à tout repasser en IP fixe (pour éviter de broadcaster à outrance) et à renseigner à chaque étage les DNS :
- firewall NETGEAR : serveur DNS de free
- SME : j'ai indiqué l'IP interne du firewall NETGEAR comme serveur DNS maître (dernier écran de configuration de la console du serveur) ;
- chaque PC : l'IP interne de SME.

Malgré tout j'ai encore des log de plusieures pages de traffic "bizarre".

Exemple d'activité la nuit tt PC éteints :
UDP packet Source 192.168.51.2 34390 LAN Destination 66.250.40.33 24441 WAN [Forward]
UDP packet Source 192.168.51.2 34426 LAN Destination 194.119.212.5 6277 WAN [Forward]
TCP packet Source 192.168.51.2 35333 LAN Destination 66.151.150.22 2703 WAN [Forward]
192.168.51.2 étant l'IP externe de SME.
En fréquence c'est le traffic sur le port 6277 qui est de loin le plus important.

Traffic "bizarre" (c-a-d hors DNS, SMTP, HTTP, HTTPS, NTP) les PC étant actifs :
ICMP packet Source 192.168.51.2 [Echo Request] LAN Destination 217.31.49.244 [Type 8] WAN [Forward]
IP packet Source 192.168.151.68 LAN Destination 66.150.87.2 WAN [Drop] [Ip Spoofing]
(ici pôur l'exemple c'est l'IP 192.168.151.68 qui est suspectée de spooling ; le message est le même pour chaque machine)

Pour l'instant il n'y a aucune règle bloquante sur le traffic sortant tant que je ne détermine pas quels ports ouvrir à quelle activité (hors ceux déjà connus).
Je veux donc bien laisser SME causer sur le 6277 par exemple, mais pour quoi ?

Bref à vos bonnes idées m'sieux dames
et merci pour le dérangement.
hervé

IP SPOOFING

IP SPOOFING

Qui est en ligne ?