Como evitar o problema de detecção de intrusão / anti-spoofing em uma série TZ sonicwall FW

Temos uma série tic da sonicwall FW com dois provedores de serviços de internet conectados.

Um dos fornecedores tem um serviço sem fio que funciona um pouco como um switch ethernet, pois temos um ip com uma sub-rede / 24 e o gateway é .1. Todos os outros clientes na mesma sub-rede (digamos 195.222.99.0) têm o mesmo gateway .1 - isso é importante, continue lendo.

Alguns de nossos clientes também estão na mesma sub-rede.

Nossa configuração:

• X0: Lan
• X1: 89.90.91.92
• X2: 195.222.99.252/24 (GW 195.222.99.1)

X1 e X2 não estão conectados , além de estarem conectados à Internet pública.

Configuração do cliente:

• X1: 195.222.99.123/24 (GW 195.222.99.1)

O que falha, o que funciona:

• Tráfego 195.222.99.123 (cliente) < - > 89.90.91.92 (X1): Alerta de paródia
• Tráfego 195.222.99.123 (cliente) < - > 195.222.99.252 (X1): OK - não alerta de paródia

Eu tenho vários clientes com IPs no intervalo 195.222.99.0 e todos provocam alertas idênticos.

Este é o alerta que vejo no FW:

Alert   Intrusion Prevention    IP spoof dropped 195.222.99.252, 21475, X1  89.90.91.92, 80, X1 MAC address: 00:12:ef:41:75:88

O anti-spoofing está desativado no meu FW (rede- > mac-ip-anti-spoofing - > configuração para cada interface) para todas as portas

Eu posso provocar os alertas por telnet para uma porta no X1 dos clientes.

Você não pode discutir com a lógica - esse é tráfego suspeito. X1 está recebendo tráfego com um IP de origem que corresponde à sub-rede X2s.

Alguém sabe como posso dizer ao FW que os pacotes com uma sub-rede src de 195.222.99.0 podem aparecer legitimamente no X1?

Eu sei o que está dando errado, eu já vi a mesma coisa antes, mas com FWs mais avançados você pode evitar isso com algumas regras extras. Eu não posso ver como fazer isso aqui. E antes de perguntar por que estamos usando este provedor de serviços - eles nos dão um atraso de 3ms (sim, 3ms, isso não é um erro) entre os roteadores.