Решено First packet isn't SYN

Orion

Случайный прохожий
Привет, есть почтовый шлюз cisco ESA (email security appliance), то бишь Ironport. Нужно было выпустить этот почтовый шлюз через checkpoint 5600 в интернет, это было сделано. Раньше smtp траффик ходил на этот MX через другой, более простой файервол. После того как этот релэй опубликовали через чекпойнт, cisco ESA перестал обновляться. Пробежавшись по логам в SmartConsole увидел что check point дропает траффик от него с ошибкой
Код:
First packet isn't SYN
image_233.jpg
 
Последнее редактирование модератором:
Попробуйте увеличить таймаут в свойствах сервиса

59482_pastedImage_2.png
 
The causes are one or more of the following:
  1. Connection halt during ClusterXL failover - services that are not synchronized on the cluster.
  2. Security Policy install occasionally causes ClusterXL failover - and if connections are not set to keep data or rematch, they are interrupted.
  3. Aggressive aging kicking in on a highly loaded gateway / cluster.
  4. The traffic is non-TCP RFC compliant.
  5. SmartLog shows that traffic is being dropped as "TCP packet out of state: First packet isn't SYN"
  6. Session has been expired.
Еще причина.

Это сообщение может появиться в асимметричных сетях, где путь выхода пакета из сети не соответствует пути входа в сеть. После того, как соединение было удалено из таблицы соединений, любой пакет, кроме SYN, будет отброшен с выходом пакета TCP, поскольку это первый пакет, необходимый для установления нового соединения. Измените конфигурацию сети, чтобы устранить асимметрию, чтобы устранить эту проблему, или следуйте процедурам обхода.
 
Кто знает как победить ? Таймауты мне не помогли
не работает syn ack. Пакет syn уходит через одного провайдера а ack приходет через другого. Вот его чекпойнт веслом и прихлопывает
 
В обычном состоянии, это не проблема – данная ошибка говорит о том, что в рамках TCP сессии некорректно отправляются пакеты. Такие соединения не должны в принципе работать в нормальном режиме.

Поэтому вариантов два:
Скорее всего, проблема не в этом, возможно что-то еще мешает связности.
Можно для теста отключить инспекцию TCP, следует учесть, что это приоткроет возможности для некоторых атак:
322.jpg
 
Назад
Верх