Stateful
Norbert Murzsa
norbert.murzsa at snt.hu
2002. Jan. 23., Sze, 12:53:16 CET
Lenne egy problemam ket egymast koveto tuzfallal.
IP-Filter a belso es CheckPoint a kulso.
Az IP-Filteres gepen tobb proxy is fut. Az ezekhez valo hozzaferest
korlatozom az IP-Filterrel..no meg a kimeno forgalmat.
A kimeno forgalom pedig tovabbmegy a Check Point fele.
Az IP-Filteres FreeBSD-t nemreg frissitettem(sw/hw)(talan meg emlekeztek
az 1GB+2PROC tipusu leveleimre). Szoval az uj FreeBSD jol megy ket
processzorral. Az eredeti gep konfigjait tettem ra. A kernelvaltozok is
ugyanugy vannak beallitva(+- nehany uj valtozo/vagy regi, ami mar nincs
a 4.4-ben).
Az uj 2 processzoros gep mukodese ota megnovekedett a drop-olt packettek
szama a Check Point-on.
Egyelore keresem a jelenseg okat, okait.
Ethereal-lel sniffeltem a forgalmat es latszik, hogy nemely session
lezarasa utan meg erkezik 1-1 ACK packett egy mar lezarult session
szekvenciaszamaval. Erre a CP teljesen jogosan droppol.
Az IP-Filterben a HTTP stateful-ra van allitva(default block all).
A HTTP kapcsolatok sorainak vegere odatettem a: "flags S keep state" bejegyzest.
A doksi szerint:
"Now only TCP packets, destined for 20.20.20.1, at port 23, with a lone
SYN flag will be allowed in and entered into the state table. A lone SYN
flag is
only present as the very first packet in a TCP session (called the TCP
handshake) and that's really what we wanted all along."
Persze, lehet, hogy valamit felreertettem, mert amikor igy fut az
IP-Filter, a CP-ban sokkal tobb droppolt packet jelenik meg.
Az erdekes az, hogy az eredeti lassabb FreeBSD-s geppel(500Mhz+256MB RAM)
nem volt ez a problema es most sem jelentkezik, ha visszateszem.
Az uj gep(2x750Mhz+1GB RAM) hasznalatakor viszont elojon.
--
---------------------------------------------------------------------
Murzsa Norbert email: norbert.murzsa at innet.hu
Innet Kft. phone: +361 371 8042
H-1117 Budapest, Neumann Janos u. 1. (legalabbis...(gondolom en..:-)
További információk a(z) BSD levelezőlistáról