Les paquets sont supprimés en raison du remontage TCP
Resolution
Demande client
Les paquets sont supprimés en raison du remontage TCP.
Cause
Cela se produira normalement S'il y a routage asymétrique dans le réseau. Par exemple, si un paquet SYN passe par le pare-feu de Palo Alto Networks, mais SYN-ACK ne passe jamais par le pare-feu et le pare-feu reçoit un ACK. Le pare-feu va supprimer les paquets en raison d'une défaillance dans le remontage TCP.
Afin de confirmer, lancez les captures de paquets et vérifiez le compteur global. Pour plus d'informations sur les captures de paquets, voir: utilisation du filtrage de paquets via GUI avec Pan-OS 4,1
Comme indiqué ci-dessous, dans les compteurs voir que les paquets sont supprimés en raison de remontage TCP. Captures montrent qu'il reçoit un paquet SYN et un paquet ACK, mais ne reçoit jamais un ACK syn:
Résolution
Utilisez la commande suivante pour configurer le pare-feu pour ignorer le routage asymétrique globalement.
> configurer
# Set deviceconfig paramètre TCP asymétrique-chemin de contournement
# Commit
Les modifications peuvent être restaurées avec les éléments suivants:
> configurer
# Delete deviceconfig paramètre TCP asymétrique-Path
# Commit
Utilisez la commande suivante pour vérifier l'action en cours sur le trafic asymétrique:
> afficher l'état TCP en cours d'exécution | allumette asymétrique
session avec chemin asymétrique: Drop paquet
Alternativement, les utilisateurs peuvent réduire le routage asymétrique de contournement juste pour le trafic allant à une zone de destination spécifique en créant un profil de protection de zone.
- Accédez au profil de protection de la zone Network >.
- Ajoutez un nouveau profil et donnez-lui un nom.
- Accédez à l'onglet protection contre les attaques par paquets et, dans le menu déroulant, sélectionnez ce qui suit:
rejeter le TCP non-syn: pas de
chemin asymétrique: Bypass - Accédez à la zone de destination en question et assignez le profil de protection de zone.
- Engagez vos changements.
Remarque: si le trafic s'étend sur deux zones de sécurité, le profil de protection de zone touche la zone de destination. Appliquez le profil de protection de zone à une zone ou les deux, selon si le trafic asymétrique est requis. Il peut être initié unidirectionnelment et appliqué à la zone de destination uniquement, ou bidirectionnel et appliqué aux deux zones.
propriétaire: ashaikh