GoldenLine
Zaloguj się
Robert Chmieliński

Robert Chmieliński kierownik sekcji
administracji sieci,
AIUT Service

Temat: konfiguracja ASA5510

Wyczyściłem ASP i próbowałem pobrac plik ze strony, po około minuciewpisałem polecenie
ASA# sh asp drop

Frame drop:
Flow is denied by configured rule (acl-drop) 373
NAT-T keepalive message (natt-keepalive) 8
First TCP packet not SYN (tcp-not-syn) 25
TCP failed 3 way handshake (tcp-3whs-failed) 11
TCP Out-of-Order packet buffer full (tcp-buffer-full) 30
TCP Out-of-Order packet buffer timeout (tcp-buffer-timeout) 211
ICMP Inspect seq num not matched (inspect-icmp-seq-num-not-matched) 41

Last clearing: 15:01:49 CEST Feb 24 2011 by enable_15

Flow drop:
NAT failed (nat-ailed) 2
Need to start IKE negotiation (need-ike) 14
Inspection failure (inspect-fail) 12

Last clearing: 15:01:49 CEST Feb 24 2011 by enable_15

============================================================
Proszę o informację co mam dokładnie i jak debugować?
Inspekcje http mam wyłaczoną:

policy-map global_policy
class inspection_default
inspect ftp
inspect icmp
inspect pptp
inspect ipsec-pass-thru
class global-class
ips inline fail-open sensor vs0
policy-map global-policy
class inspection_default
!
service-policy global_policy global

============================================================

Wyłączałem IPS i też nie potrafiłem pobrać pliku z tej witryny.Robert Chmieliński edytował(a) ten post dnia 24.02.11 o godzinie 16:30
Link do wypowiedziLink
Paweł R.

Paweł R. „Moje prochy będą
gorętsze od ich
życia!”

Temat: konfiguracja ASA5510

W zyciu bywam tak, ze do tanga trzeba dwojka. Pamietaj, ze rownie dobrze ciecie ruchu moze byc po drugiej stronie. Czasem trzeba pewne teorie wykluczac, wiec ja bym zaczal debugging tak aby wykluczyc wplyw ASA w danej sytuacji. Wbrew pozorom nie masz jakos specjalnie skomplikowanej konfiguracji, zeby doszukiwac sie problemow.
Link do wypowiedziLink
Jarosław Postawa

Jarosław Postawa Właściciel,
Dorvin.Net

Temat: konfiguracja ASA5510

Używasz na komputerach jakiegoś menedżera pobierania (Getright itp.)? Jeśli tak, to spróbuj wyłączyć.
Link do wypowiedziLink

konto usunięte

Temat: konfiguracja ASA5510

Nie korzystamy z żadnego DAP+ ani flashget i innych wynalazków.

Próba pobrania odbywa się z poziomu przeglądarki, testowane już były: FF i IE
Link do wypowiedziLink
Paweł R.

Paweł R. „Moje prochy będą
gorętsze od ich
życia!”

Temat: konfiguracja ASA5510

no a jak uzasadnisz, ze na fedorze dziala? Przeciez ASA w takiej konfiguracji nie odroznia czy to linux czy windows.
Link do wypowiedziLink
Jarosław Postawa

Jarosław Postawa Właściciel,
Dorvin.Net

Temat: konfiguracja ASA5510

Paweł R.:
no a jak uzasadnisz, ze na fedorze dziala? Przeciez ASA w takiej konfiguracji nie odroznia czy to linux czy windows.

Windowsy mają ciekawie zaimplementowany stos TCP/IP, nieco rozmijający się momentami ze standardami. ASA z kolei ma mechanizmy filtrowania rzeczy, które są niezgodne z RFC. I stąd pewnie problem.

Co do samego problemu, to zastanawia mnie to:


TCP Out-of-Order packet buffer full (tcp-buffer-full) 30

TCP Out-of-Order packet buffer timeout (tcp-buffer-timeout) 211


W połączeniu z logami, gdzie widać kilka SYN ACK bez SYN z wewnątrz wydaje mi się, że problem wstępnie jest namierzony. Prawdopodobnie da się go rozwiązać przez skonfigurowanie odpowiedniej tcp-map, ale mamy trochę za mało informacji, żeby podawać gotowe rozwiązanie. Czy dałoby się zrobić zrzut z wiresharka i wystawić gdzieś plik "cap"? Trochę wygodniej się to analizuje.
Link do wypowiedziLink

konto usunięte

Temat: konfiguracja ASA5510

A może shun włączony i przyblokował dostęp do hosta?
Ewentualnie clear shun
Link do wypowiedziLink
« Wróć do tematów
Odpowiedz

Podobne tematy


Następna dyskusja:

iSCSI i konfiguracja interf...




Wyślij zaproszenie do
Anuluj