Pix Firewall. Conexiones TCP y su finalización

     Cuando el firewall PIX finaliza una conexión genera un mensaje en la log que proporciona la razón para la terminación de la misma. Por ejemplo:
2012-02-27 12:08:42 Local4.Info PIX_678 Feb 27 2012 12:08:42: %PIX-6-302014: Teardown TCP connection 999 for outside:195.212.29.164/5451 to Intf3:192.168.250.121/3389 duration 0:00:06 bytes 0 SYN Timeout
2012-02-27 12:08:42 Local4.Info PIX_678 Feb 27 2012 12:08:42: %PIX-6-302014: Teardown TCP connection 998 for outside:195.212.29.164/23107 to Intf3:192.168.250.121/3389 duration 0:00:07 bytes 0 TCP Reset-O

     Los resets TCP no son originados por el PIX, son generados por los servidores tanto en la parte interna (TCP Reset-I) como en la externa (TCP Reset-O).

     La siguiente tabla muestra información más detallada de las diversas causas de la finalización de una sesión TCP:
RazónDescripción
Reset-I El firewall recibe un reset  desde el interior
Reset-O El firewall recibe un reset  desde el exterior
TCP FINsSecuencia de terminación normal
FIN TimeoutSe fuerza la terminación después de esperar 15 seg
SYN TimeoutSe fuerza la terminación después de esperar 2 min
Xlate ClearBorrado de la tabla de traducciones desde la línea de comandos
DenyTerminación por la aplicación de reglas (Stateful Application inspection)
SYN ControlInicio de respuesta erróneo
Uauth DenyDenegación por filtro URL
Conn-timeoutTimeout de la conexión
Unknown Desconocido

      Con el comando 'show conn detail' podemos obtener información del estado de las conexiones TCP a través del PIX. Por ejemplo:

PIX678# sh conn det all
22 in use, 108 most used
Flags: A - awaiting inside ACK to SYN, a - awaiting outside ACK to SYN,
       B - initial SYN from outside, C - CTIQBE media, D - DNS, d - dump,
       E - outside back connection, F - outside FIN, f - inside FIN,
       G - group, g - MGCP, H - H.323, h - H.225.0, I - inbound data,
       i - incomplete, J - GTP, j - GTP data, K - GTP t3-response
       k - Skinny media, M - SMTP data, m - SIP media, n - GUP
       O - outbound data, P - inside back connection, p - Phone-proxy TFTP connection,
       q - SQL*Net data, R - outside acknowledged FIN,
       R - UDP SUNRPC, r - inside acknowledged FIN, S - awaiting inside SYN,
       s - awaiting outside SYN, T - SIP, t - SIP transient, U - up,
       V - VPN orphan, W - WAAS
TCP Gestion:129.39.137.5/50336 NP Identity Ifc:192.168.154.41/23,
    flags UOB, idle 0s, uptime 3h28m, timeout 5m0s, bytes 287575
TCP outside:68.67.179.221/80 Intf3:192.168.251.122/1637,
    flags UFRIO, idle 4m45s, uptime 4m56s, timeout 10m0s, bytes 3174
TCP outside:213.199.149.186/80 Intf3:192.168.251.122/1634,
    flags UFRIO, idle 4m52s, uptime 4m56s, timeout 10m0s, bytes 76668
TCP outside:173.194.67.156/80 Intf3:192.168.251.122/1632,
    flags UFRIO, idle 56s, uptime 4m57s, timeout 10m0s, bytes 1314
TCP outside:68.67.185.220/80 Intf3:192.168.251.122/1628,
    flags UFRIO, idle 4m49s, uptime 4m59s, timeout 10m0s, bytes 2392
TCP outside:68.67.185.220/80 Intf3:192.168.251.122/1626,
    flags UFRIO, idle 4m49s, uptime 4m59s, timeout 10m0s, bytes 2383
TCP outside:65.55.121.231/80 Intf3:192.168.251.122/1625,
    flags UFRIO, idle 57s, uptime 5m0s, timeout 10m0s, bytes 2052
TCP outside:65.55.121.231/80 Intf3:192.168.251.122/1624,
    flags UIO, idle 5m0s, uptime 5m0s, timeout 1h0m, bytes 2301
TCP outside:65.55.121.231/80 Intf3:192.168.251.122/1623,
    flags UFRIO, idle 56s, uptime 5m1s, timeout 10m0s, bytes 3672
TCP outside:65.55.121.231/80 Intf3:192.168.251.122/1622,
    flags UFRIO, idle 1m20s, uptime 5m1s, timeout 10m0s, bytes 4150
TCP outside:65.55.121.231/80 Intf3:192.168.251.122/1621,
    flags UFRIO, idle 57s, uptime 5m1s, timeout 10m0s, bytes 6457



Etiquetas: , ,
__________________________ Artículos relacionados: _________________________

No hay comentarios:

Publicar un comentario

Nota: solo los miembros de este blog pueden publicar comentarios.

Suscribirse a: Enviar comentarios (Atom)