Les paquets sont supprimés en raison du remontage TCP

Les paquets sont supprimés en raison du remontage TCP

193879
Created On 09/25/18 20:34 PM - Last Modified 03/21/24 07:54 AM


Resolution


Demande client

Les paquets sont supprimés en raison du remontage TCP.

Cause

Cela se produira normalement S'il y a routage asymétrique dans le réseau. Par exemple, si un paquet SYN passe par le pare-feu de Palo Alto Networks, mais SYN-ACK ne passe jamais par le pare-feu et le pare-feu reçoit un ACK. Le pare-feu va supprimer les paquets en raison d'une défaillance dans le remontage TCP.

Afin de confirmer, lancez les captures de paquets et vérifiez le compteur global. Pour plus d'informations sur les captures de paquets, voir: utilisation du filtrage de paquets via GUI avec Pan-OS 4,1

remontage-global. Png

Comme indiqué ci-dessous, dans les compteurs voir que les paquets sont supprimés en raison de remontage TCP. Captures montrent qu'il reçoit un paquet SYN et un paquet ACK, mais ne reçoit jamais un ACK syn:

réception-remontage. Png

Résolution

Utilisez la commande suivante pour configurer le pare-feu pour ignorer le routage asymétrique globalement.

> configurer

# Set deviceconfig paramètre TCP asymétrique-chemin de contournement

# Commit


Les modifications peuvent être restaurées avec les éléments suivants:

> configurer

# Delete deviceconfig paramètre TCP asymétrique-Path

# Commit

Utilisez la commande suivante pour vérifier l'action en cours sur le trafic asymétrique:

> afficher l'état TCP en cours d'exécution | allumette asymétrique

session avec chemin asymétrique: Drop paquet

Alternativement, les utilisateurs peuvent réduire le routage asymétrique de contournement juste pour le trafic allant à une zone de destination spécifique en créant un profil de protection de zone.

  1. Accédez au profil de protection de la zone Network >.
  2. Ajoutez un nouveau profil et donnez-lui un nom.
  3. Accédez à l'onglet protection contre les attaques par paquets et, dans le menu déroulant, sélectionnez ce qui suit:
    rejeter le TCP non-syn: pas de
    chemin asymétrique: BypassScreen Shot 2014-11-14 à 12.03.49 PM. png
  4. Accédez à la zone de destination en question et assignez le profil de protection de zone.
    Screen Shot 2014-11-14 à 12.04.27 PM. png
  5. Engagez vos changements.

Remarque: si le trafic s'étend sur deux zones de sécurité, le profil de protection de zone touche la zone de destination. Appliquez le profil de protection de zone à une zone ou les deux, selon si le trafic asymétrique est requis. Il peut être initié unidirectionnelment et appliqué à la zone de destination uniquement, ou bidirectionnel et appliqué aux deux zones.

propriétaire: ashaikh
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClhsCAC&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language