Pakete werden wegen TCP-wiederHerstellung fallen gelassen
Resolution
Problem
Pakete werden durch TCP-Reassembly gelöscht.
Ursache
Dies wird in der Regel geschehen, wenn es eine asymmetrische Routing-Funktion im Netzwerk gibt. Zum Beispiel, wenn ein SYN-Paket durch die Palo Alto Networks Firewall geht, aber SYN-ACK nie durch die Firewall geht und die Firewall ein ACK erhält. Die Firewall wird die Pakete wegen eines Ausfalls in der TCP-Wiederherstellung fallen lassen.
Um zu bestätigen, führen Sie Paketaufnahmen durch und überprüfen Sie den globalen Zähler. Weitere Informationen zu den Paketaufnahmen finden Sie unter: mit der Paketfilterung durch GUI mit Pan- OS 4,1
Wie unten gezeigt, sehen Sie in den Zählern, dass die Pakete aufgrund der TCP-Wiederherstellung fallen gelassen werden. Die Aufnahmen zeigen, dass es ein SYN-Paket und ein ACK-Paket erhält, aber nie einen SYN-ACK erhalten:
Lösung
Verwenden Sie den folgenden Befehl, um die Firewall zu konfigurieren, um asymmetrisches Routing weltweit zu umgehen.
> configure
# Set DeviceConfig Einstellung TCP asymmetrisch-Pfad Bypass
# Commit
Die Änderungen können mit folgenden rückgängig gemacht werden:
> configure
# DELETE DeviceConfig Einstellung TCP asymmetrischer Pfad
# Commit
Verwenden Sie den folgenden Befehl, um die aktuelle Aktion auf asymmetrischen Verkehr zu überprüfen:
> Show laufen TCP State | Match asymmetrisch
Session mit asymmetrischem Pfad: Drop-Paket
Alternativ können Nutzer Bypass-asymmetrisches Routing nur für den Verkehr eingrenzen, der durch die Erstellung eines Zonen Schutz Profils in eine bestimmte Zielzone geht.
- Gehen Sie zum Netzwerk > Zonen Schutzprofil.
- Fügen Sie ein neues Profil hinzu und geben Sie ihm einen Namen.
- Gehen Sie zum Paket-basierten Angriffs Schutz-Tab und wählen Sie im Pulldown-Menü Folgendes aus:
ablehnen Sie nicht-SYN TCP: kein
asymmetrischer Pfad: Bypass - Gehen Sie in die betreffende Zielzone und weisen Sie das Zonen SchutzProfil zu.
- Ihre Änderungen zu übertragen.
Hinweis: Wenn der Verkehr zwei Sicherheitszonen umfasst, wird das Zonen Schutzprofil die Zielzone Schlüssel. Das Zonen Schutzprofil auf eine Zone oder beides anwenden, je nachdem, ob asymmetrischer Verkehr erforderlich ist. Es kann unidirektionell initiiert und nur auf die Zielzone angewendet werden, oder bidirektionell und auf beide Zonen angewendet werden.
Besitzer: ashaikh