Lors d'Anti-Spoofing dans le SmartLog/SmartTracker, il est parfois difficile d'identifier la source du problème.

  • Le flux n'est pas vu dans le fw monito
  • Le flux est vu dans le tcpdump mais sans MAC destination
  • vu en zdebug drop
1 [Expert@Gaia:0]# fw ctl zdebug + drop | grep '192.168.1.1'
2 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
3 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
4 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;
5 ;[cpu_3];[fw4_0];fw_log_drop_conn: Packet <dir 1, 192.168.1.1:37040 -> 192.168.2.2:80 IPP 6>, dropped by do_inbound, Reason: Address spoofing;

A regarder

  • s'il n'y a pas un réseau sur une des interfaces/topologie du FW
  • s'il n'y a pas de route connue pour le réseau source
  • si le réseau n'est pas inclus dans une déclaration Anti-Spoofing