[HACK] Problemas de establecimiento de conexión
xavier caballe
os2man at quands.com
Thu Feb 6 23:36:04 CET 2003
-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1
>en logs aparecen drops de máquinas que si tienen permisos para trabajar
>entre sí y dicen algo como esto:
>"unknown established TCP packet"
Este mensaje aparece cuando el cortafuegos detecta una conexión TCP
establecida que no figura en su tabla de conexiones (que FW1 mantiene
al ser un cortafuegos stateful).
Las versiones de FW1 anteriores a la 4.1 SP2 intentaban restablecer
estas conexiones no presentes en la tabla, pero a partir SP2, el
cortafuegos simplemente ignora estos paquetes y registra el mensaje de
error que indicas. En cambio, las versiones anteriores, si bien también
ignoraban los paquetes y visualizaban este mensaje, antes intentaban
restaurar la conexión. Para hacer que FW1 intente en primer lugar
restarurar la conexión (es decir, el comportamiento antiguo) edita el
archivo $FWDIR/lib/fwui_head.def y añade
#define ALLOW_NON_SYN_RULEBASE_MATCH
He visto algunos mensajes de gente explicando que cuando existen
múltiples objetos que hacen referencia a la misma dirección IP, incluso
si está no es utilizada en las reglas, a veces se registra este error.
Otra posible fuente de este mensaje es una configuración de alta
disponibilidad donde esté habilitado el flujo de FW y se utiliza IPSO
3.3-3.4.1 con FW1 4.1; en este caso hay que aplicar el SP5 de FW1 4.1
así como el IPSO 3.4.1; alternativamente deshabilita el flujo del FW
con ipsofwd slowpath (en $FWDIR/bin/fwstart).
Finalmente, si no quieres que estos mensajes te aparezcan en el log
puedes editar $FWDIR/lib/fwui_head.def y añadir
#define CLUSTER_RULEBASE_MATCH_LOG (FW-1 4.1 hasta SP1)
o bien
#define NON_SYS_RULEBASE_MATCH_LOG (para FW-1 4.1 SP2 y posterior).
Xavi
- ---
http://www.quands.info
Portal de seguretat informàtica en català
-----BEGIN PGP SIGNATURE-----
Version: PGPsdk version 1.7.1 (C) 1997-1999 Network Associates, Inc. and its affiliated companies.
iQA/AwUBPkLFxV1NLI1XTM/wEQIOxgCfe6lGeMN5lkMMQ7F+JF9Nk4FcN8kAnjqE
D9OV/v43I+1nXa/lcPZ61IG5
=aKm8
-----END PGP SIGNATURE-----
More information about the hacking
mailing list