Ads by RevenueHits

Redes FAQ

Ads by Bidvertiser

Buscar información sobre redes

ASA Bloquea respuesta TCP SYN

Pregunta

A ver si alguien me puede ayudar...

Escenario:

..............|---RouterA (1811) (192.168.80.2)
PC-----ASA--- (192.168.80.1)
10.138... |---RouterB (3845) (192.168.80.3)

El ASA tiene el IOS 7.2(2)

Se desea que desde la PC se pueda hacer SSH a ambos routers...

access-list inside_access_in extended permit tcp host 10.138.109.88 host 192.168.80.3 eq ssh log critical

access-list inside_access_in extended permit tcp host 10.138.109.88 host 192.168.80.2 eq ssh log critical

Hasta ahi todo bien... peeeeeeeerrrrrroooo...

Resulta que deja conectarse al Router A sin problemas pero el ASA bloquea el acceso al Router B, osea la vuelta de la respuesta TCP SYN; dando el siguiente mensaje.


Cita:
106015

Error Message %PIX|ASA-6-106015: Deny TCP (no connection) from IP_address/port to
IP_address/port flags tcp_flags on interface interface_name.
Explanation The security appliance discarded a TCP packet that has no associated connection in the security appliance connection table. The security appliance looks for a SYN flag in the packet, which indicates a request to establish a new connection. If the SYN flag is not set, and there is not an existing connection, the security appliance discards the packet.
Recommended Action None required unless the security appliance receives a large volume of these invalid TCP packets. If this is the case, trace the packets to the source and determine the reason these packets were sent.
Lo simpatico es que funciona el ssh entre ambos routers... ya me estoy quedando sin ideas...

Alguien me puede "iluminar"?

Respuesta

El problema no es de protocolos SSH el problema lo tenes con las subredes
el error te dice que pasa,,, sino tenes un SYN  no tenes conexiones habilitadas en la tabla del Pix, el pix no reconoce los paquetes que quieren entrar y los bloquea...

verifica como tenes declaradas las ip's en tu pix
habilita los rangos!

cada pix cuando se desea iniciar una sesion TCP
genera una entrada en una tabla donde mapea las ips
y si esas ips no estan permitidas o no existe esa entrada en la tabla
la conexion despues de un lapso de tiempo expira o directamente es denegada

fijate tambien que rango de tiempo de expiracion tienen tus entradas en esa tabla

verifica como tenes armadas las ACL's
acordate que toda sesion TCP necesita de un ACK

combinados todos estos conceptos con el mensaje que te tiro el pix tenes que poder resolver el tema..

Entradas populares

Ads By Bidvertiser

Visite nuestra tienda virtual

Ads by Daily Motion