Help us enhance your Sophos Community experience. Share your thoughts in our Sophos Community survey.

Thread Info
  • State Not Answered
  • Replies 37 replies
  • Subscribers 0 subscribers
  • Views 17632 views
  • Users 0 members are here
Options
Suggested

[7.386] IP licensing - possibly?

Hubersan
[:S]

I don't remember from 7.3 how often it checks, but I've noticed that on the beta, I have NO IP's listed on the licensing page, even though I know there's multiple connections...
Parents
  • 0
    IIRC, It's supposed to update every night, unless you have an unlimited license.

    Barry
  • 0 in reply to BarryG
    I've seen the same thing with the licensing daemon on production systems... so long as it doesn't stop things from working, it's no big deal... not sure why it doesn't work on some systems, though.

    CTO, Convergent Information Security Solutions, LLC

    https://www.convergesecurity.com

    Sophos Platinum Partner

    --------------------------------------

    Advice given as posted on this forum does not construe a support relationship or other relationship with Convergent Information Security Solutions, LLC or its subsidiaries.  Use the advice given at your own risk.

  • 0 in reply to DiePlage
    DiePlage, if you're using the proxies, Astaro will be a busy client.

    Barry
  • 0 in reply to DiePlage
    I now have another nonsense IP showing up in my licensing on 7.390:
    10.0.0.14
    That would be on my DMZ network, but I don't have anything with that IP, and in fact, my only server (10.0.0.10) has not been on for awhile.

    I have no idea where this is coming from; I didn't nmap that address (I did nmap 10.0.0.0/30 which would not have gone that high).

    Gert, I know you want me to check my accounting, but I can't as it appears my computer is too slow.
    Regardless, neither IP is in the weekly or daily exec reports.

    Thanks,
    Barry
  • 0 in reply to BarryG
    DiePlage, if you're using the proxies, Astaro will be a busy client.

    Barry


    I see.

    So if Client A requests a http-website through the http-proxy than this traffic is added to the account of the ASG rather than to that of Client A?

    Technically speaking I see the logic behind it but on the other hand that's not the information I want (especially when I'm an executive :-)

    Maybe I'll add that to the wishlist for the next version...
  • 0 in reply to DiePlage
    Yes.

    I believe you can look at the proxy section of the reports to get the information you need.

    Barry
  • 0 in reply to BarryG
    Hubersan, can you try pinging or running NMAP on some of those addresses from outside your network? 

    Barry


    Well, sure enough, an nmap from the outside of the firewall is 'answering' on all IPs in the subnet, so that's probably why it's counting it as an IP on the licensing report.  However, if I scan on the inside, it only sees the 8 IPs that SHOULD be there.  I've been going through the config and I can't find anything that would cause the firewall to answer for everything.
  • 0 in reply to Hubersan
    Well, sure enough, an nmap from the outside of the firewall is 'answering' on all IPs in the subnet, so that's probably why it's counting it as an IP on the licensing report.  However, if I scan on the inside, it only sees the 8 IPs that SHOULD be there.  I've been going through the config and I can't find anything that would cause the firewall to answer for everything.


    And, to add to the confusion, I just remembered that nmap does different things when you run as root vs a normal user.

    running nmap -sP x.x.x.x/27 returns all IPs when run as root.  Man page says that it 'pings' by doing an ICMP echo request and syn packet on port 80.

    running nmap -sP x.x.x.x/27 returns only 3 systems when run as joe user.  Which makes sense, since the man page says that it 'pings' by sending a syn packet on port 80, and those 3 systems are the only ones with 80 open.

    So is the firewall doing some wierd ICMP proxy arp type of thing?
  • 0 in reply to Hubersan
    Ok, so I've figured why NMAP thinks they're all there, but I'm not entirely sure why it's happening.  Watching the packets, the ICMP packets are indeed dropped, but the TCP port 80 packets get a response back from that IP somehow.  It's got to be spoofed from the firewall, but I can't figure out where.

    and since I seem to post before learning everything I need to, here's an example of something that shouldn't respond at all.  This is from a nmap -sP scan

    12:51:08.498968 IP X.X.X.X.33235 > A.B.C.140.http: . ack 1201753921 win 1024
    12:51:08.499171 IP A.B.C.140.http > X.X.X.X.33235: R 1:1(0) ack 0 win 1024

    From what I can tell, the R is a connection reset.  not entirely sure why that's getting sent back.

    I've tried turning off IPS in general, anti-portscan, all of the anti-dos/flooding on the IPS page.  Also tried every combination of things on the Packet Filter -> ICMP page.  Only thing turned on in the Web Security page is FTP proxy, but I've tried with that off too..  Any suggestions?
  • 0 in reply to Hubersan
    You have nothing in Masquerading or NAT, right?

    Do any of the Astaro interfaces have more than one IP?

    I don't have any way to test this myself on the beta, as I don't have public IPs at home.

    Barry
  • 0 in reply to BarryG
    You have nothing in Masquerading or NAT, right?

    Do any of the Astaro interfaces have more than one IP?

    I don't have any way to test this myself on the beta, as I don't have public IPs at home.

    Barry


    Nope.. no NAT or MASQ, and no extra IPs.  I also just tried proxy arp to see if that made a difference, and no dice.
  • 0 in reply to Hubersan
    Hubersan, can you please send me a backup of your configuration and a complete listing of your setup (Which nets, IP addresses, what you did etc., everything needed to reproduce the problem).

    To analyze problems like this, guessing is the worst one can do. We need to make sure to measure correctly.
Reply Children
No Data
Unfiltered HTML