Решено First packet isn't SYN

[Orion]

Привет, есть почтовый шлюз cisco ESA (email security appliance), то бишь Ironport. Нужно было выпустить этот почтовый шлюз через checkpoint 5600 в интернет, это было сделано. Раньше smtp траффик ходил на этот MX через другой, более простой файервол. После того как этот релэй опубликовали через чекпойнт, cisco ESA перестал обновляться. Пробежавшись по логам в SmartConsole увидел что check point дропает траффик от него с ошибкой

First packet isn't SYN

 

[Razer]

Multiple logs for dropped "TCP out of state" packets are displayed

Location of user.def files on Security Management Server

 

[Doctor]

Попробуйте увеличить таймаут в свойствах сервиса

 

[BlackJack]

Кто знает как победить ? Таймауты мне не помогли

TCP packet out of state:First packet isn't SYN
TCP Flags: FIN-ACK

 

[Surf_rider]

The causes are one or more of the following:

1. Connection halt during ClusterXL failover - services that are not synchronized on the cluster.
2. Security Policy install occasionally causes ClusterXL failover - and if connections are not set to keep data or rematch, they are interrupted.
3. Aggressive aging kicking in on a highly loaded gateway / cluster.
4. The traffic is non-TCP RFC compliant.
5. SmartLog shows that traffic is being dropped as "TCP packet out of state: First packet isn't SYN"
6. Session has been expired.

Еще причина.

Это сообщение может появиться в асимметричных сетях, где путь выхода пакета из сети не соответствует пути входа в сеть. После того, как соединение было удалено из таблицы соединений, любой пакет, кроме SYN, будет отброшен с выходом пакета TCP, поскольку это первый пакет, необходимый для установления нового соединения. Измените конфигурацию сети, чтобы устранить асимметрию, чтобы устранить эту проблему, или следуйте процедурам обхода.

 

[UEF]

Кто знает как победить ? Таймауты мне не помогли

не работает syn ack. Пакет syn уходит через одного провайдера а ack приходет через другого. Вот его чекпойнт веслом и прихлопывает

 

[RG45]

В обычном состоянии, это не проблема – данная ошибка говорит о том, что в рамках TCP сессии некорректно отправляются пакеты. Такие соединения не должны в принципе работать в нормальном режиме.

Поэтому вариантов два:
Скорее всего, проблема не в этом, возможно что-то еще мешает связности.
Можно для теста отключить инспекцию TCP, следует учесть, что это приоткроет возможности для некоторых атак: