none
A non-SYN packet was dropped RRS feed

  • Вопрос

  • Решил тут воткнуть ISA Server 2004 между Pix и локалкой тупо посчитать траффик. Настроил его в режиме Route по схеме Back Firewall, создал единственное правило пропускающее все снаружи внутрь и изнутри наружу, то есть без ограничений (All Networks & Local Host any 2 any). Все вроде бы работает, траффик считается, но как бы сделать этот ISA совсем прозрачным. Весь лог забит сообщениями с разными сорсами типа:

    Denied Connection
    Log type: Firewall service Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer. Rule: Source: Internal ( 192.168.4.22:3121) Destination: External (fatboy.webvisor.ru 212.158.161.108:80) Protocol: HTTP

    Denied Connection
    Log type: Firewall service Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer. Rule: Source: Local Host ( 10.1.2.2:27776) Destination: External ( 194.226.82.76:80) Protocol: HTTP

    Denied Connection
    Log type: Firewall service Status: A non-SYN packet was dropped because it was sent by a source that does not have an established connection with the ISA Server computer. Rule: Source: Internal ( 192.168.4.11:3724) Destination: External ( 85.65.93.74:55456) Protocol: Unidentified IP Traffic (TCP:55456)

    Про RSS я читал, и как я понимаю отключать его надо при конфигурации с NAT, но на всякий случай отключил и его - ситуация не изменилась. Так же мне не понятно, почему допустим PIX может пробросить сквозь ISA внутрь сети 25 порт 110 порт, а вот с портом 3724 так не получается - в логе возникает все то же сообщение , хотя и протокол этот описан и открыто все с внешнего интерфейса и обратно, соответственно те машины которые допустим используют Torrent клиенты, сидят с закрытыми портами, чем этот порт отличается от 25 и 110 допустим? 

    Собственно от ISA нужно чтобы он не разбирался что там через него идет и не блокировал вообще ничего, а тупо считал траффик. Фаерволом служит PIX и он же пробрасывает необходимые сервисы внутрь сети. Я слишком многого хочу? Что скажут гуру?


    20 августа 2009 г. 13:39

Ответы

Все ответы

  • ISA осуществляет stateful-фильтрацию, спасая Вас от атак внедрения в соединения, а Вы ее хотите так унизить. :) Интересно, почему что PIX не обращает внимания на подлоги пакетов...

    Забыл, где находится "галка", включающая/отключающая "stateful packet inspection", но, подозреваю, что она размещается на


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    20 августа 2009 г. 14:42
    Отвечающий
  • Да я что-то сомневаюсь, что это есть "подлоги пакетов". Кому надо заниматься подлогом как изнутри сети, с локальной машины так и снаружи ;) Где это такая галка есть? Я отключил ей так же все интружн детекторы, если вы об этом - не помогает ;( Ну не хочу я чтоб она что-то фильтровала - хочу чтоб была прозрачна как стекло - в данном случае мне только траффик посчитать и все ;)
    20 августа 2009 г. 15:03
  • Интересно зачем для таких целей (только подсчет трафика насколько я понял) использовать ИСУ...
    По теме - если порт отличается от стандартного (описанного т.е. не 25,80,110 и т.д.) то его либо прописывать либо как говорил мой знакомый "соси кегли".
    Я бы предложил TMeter какой нить использовать для этого.


    А все могло быть и лучше...
    20 августа 2009 г. 15:46
  • Ну мне как-то ISA попривычнее всеж да и потом есть идея потом авторизацию по юзерам сделать и все такое. Для начала просто решил воткнуть посмотреть что там вообще творится. Протокол с таким портом я создал - не помогает что-то. 
    20 августа 2009 г. 16:15
  • Это немного не то, точне совсем не то.
    Варианты:
    1. Есть вариант пропускать трафик мимо ИСЫ, но думаю это не требуется, т.к. планируется потом вести учет трафика и т.д.
    2. Есть софтина на добавление "через попу" в ИСУ портов... запамятвовал тока ее название... найду отпишусь
    Но думаю чистого варианта не будет... а может и не будет совсем...


    А все могло быть и лучше...
    20 августа 2009 г. 18:03
  • Да я что-то сомневаюсь, что это есть "подлоги пакетов". <...>
    Это не обязательно подлог пакетов, а, например, "корявое" приложение. ;)
    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    20 августа 2009 г. 19:24
    Отвечающий
  • Софтина наверно имеется ввиду создание туннелей ISAtpre - это помоему несколько из другой оперы, так как ISA стоит вообще как роутер и должна тупо принимать траффик в рот и выводить его через задницу :) Вот проблема в том, что она как-то через задницу это и делает и как ее заставить иметь абсолютно прямую кишку - ума не приложу :) Хрен с ними с SYN пакетами - быть может их действительно много из за кривых приложений, но вот с чего она не всегда пропускает внутрь 3724 порт - я так и не понял пока. Уже и протоколы ей такие определил - один хрен, часть пакетов дропается (именно часть!) и торрент клиенты в 99% случаев говорят что порт закрыт. 
    21 августа 2009 г. 3:32
  • По поводу проблем с torrent-клиентами. ISA абсолютно справедливо "отшибает" torrent-клиентов, которые пытаются "качать" с хоста за ISA. Дело в том, что она воспринимает их активность как зловредов, имеющих своей целью, сожрать ресурсы на открываемых, но брошенных, не устанавливаемых должным образом TCP-соединениях. Вот. Ну, а порт, конечно, должен быть "доступен", если правильно определен протокол и опубликована его служба.

    // Вот проблема в том, что она как-то через задницу это и делает и как ее заставить иметь абсолютно прямую кишку - ума не приложу :)

    Откажитесь от ISA в пользу простенького IP-фильтра, не мучайте себя, ведь, судя по всему, Вам не нужно ничего из функционала ISA. :)


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    21 августа 2009 г. 6:37
    Отвечающий
  • опиши поподробнее что у тебя на интерфейсах исы написано (ipconfig /all и route print), что в networks, что в networks rules, а также как на пиксе интерфесы настроены и какие там маршруты. а то гадаем здесь как бабки

    21 августа 2009 г. 6:40
    Отвечающий
  • По поводу проблем с torrent-клиентами. ISA абсолютно справедливо "отшибает" torrent-клиентов, которые пытаются "качать" с хоста за ISA. Дело в том, что она воспринимает их активность как зловредов, имеющих своей целью, сожрать ресурсы на открываемых, но брошенных, не устанавливаемых должным образом TCP-соединениях. Вот. Ну, а порт, конечно, должен быть "доступен", если правильно определен протокол и опубликована его служба.

    // Вот проблема в том, что она как-то через задницу это и делает и как ее заставить иметь абсолютно прямую кишку - ума не приложу :)

    Откажитесь от ISA в пользу простенького IP-фильтра, не мучайте себя, ведь, судя по всему, Вам не нужно ничего из функционала ISA. :)


    Спасибо моей жене Кате, Клевогину С.П., Козлову С.В., Муравлянникову Н.А., Никитину И.Г., Шапиро Л.В. за мои знания! :)
    Пока не нужно, но в последствии ISA планируется использовать как второй фаервол и расставить клиентов для авторизации пользователей. На данный момент просто траффик посмотреть хочется. Теперь вот не пойму с какого перепугу в репортах в топ юзерах внешние IP чужие светятся, хотя если ее использовать как положено с натом, такой бодяги не замечалось. 

    Ну вопервых оно не всегда отшибает, во вторых как в таком случае узаконить этих злодеев в такой конфигурации я не совсем понимаю :) В случае с NAT опубликовать сервер наружу не представляет труда и в этом случае все работает как и должно быть, а вот как быть если она просто как роутер стоит?

    21 августа 2009 г. 7:29
  • Вот собственно. Для наглядности, адресное пространство провайдера, заменено на 100.100.100, а наше адресное пространство (сеть класса С) на 200.200.200, остальные локальные адреса оставлены как есть. Внутренняя сеть попилена на VLANы


    CISCO PIX Firewall


    ip address outside 100.100.100.142 255.255.255.252
    ip address inside 10.1.2.1 255.255.255.0
    ip address dmz 10.1.1.1 255.255.255.0

    static (inside,outside) 200.200.200.10 192.168.3.10 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.21 192.168.7.2 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.19 192.168.8.10 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.77 192.168.2.7 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.8 192.168.8.2 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.76 192.168.18.5 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.3 192.168.2.3 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.9 192.168.2.2 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.7 192.168.2.11 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.11 192.168.2.9 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.14 192.168.3.20 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.17 192.168.3.17 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.16 192.168.3.16 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.18 192.168.4.11 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.78 192.168.8.3 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.20 192.168.2.15 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.5 192.168.2.50 netmask 255.255.255.255 0 0
    static (dmz,outside) 200.200.200.6 10.1.1.2 netmask 255.255.255.255 0 0
    static (inside,outside) 200.200.200.15 10.1.2.2 netmask 255.255.255.255 0 0


    route outside 0.0.0.0 0.0.0.0 100.100.100.141 0
    route inside 192.168.0.0 255.255.0.0 10.1.2.2 1



    ISA SERVER

    Ethernet adapter Office (Port 2):

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet
       Physical Address. . . . . . . . . : 00-14-5E-32-68-DF
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 192.168.16.2
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . :
       DNS Servers . . . . . . . . . . . : 192.168.2.3
                                           192.168.2.2

    Ethernet adapter DMZ (Port 1):

       Connection-specific DNS Suffix  . :
       Description . . . . . . . . . . . : Broadcom NetXtreme Gigabit Ethernet #2
       Physical Address. . . . . . . . . : 00-14-5E-32-68-DE
       DHCP Enabled. . . . . . . . . . . : No
       IP Address. . . . . . . . . . . . : 10.1.2.2
       Subnet Mask . . . . . . . . . . . : 255.255.255.0
       Default Gateway . . . . . . . . . : 10.1.2.1
       DNS Servers . . . . . . . . . . . : 192.168.2.3
                                           192.168.2.2


    ===========================================================================
    Active Routes:
    Network Destination        Netmask          Gateway       Interface  Metric
              0.0.0.0          0.0.0.0         10.1.2.1         10.1.2.2     20
             10.1.2.0    255.255.255.0         10.1.2.2         10.1.2.2     20
             10.1.2.2  255.255.255.255        127.0.0.1        127.0.0.1     20
       10.255.255.255  255.255.255.255         10.1.2.2         10.1.2.2     20
            127.0.0.0        255.0.0.0        127.0.0.1        127.0.0.1      1
          192.168.0.0      255.255.0.0     192.168.16.1     192.168.16.2      1
         192.168.16.0    255.255.255.0     192.168.16.2     192.168.16.2     10
         192.168.16.2  255.255.255.255        127.0.0.1        127.0.0.1     10
       192.168.16.255  255.255.255.255     192.168.16.2     192.168.16.2     10
            224.0.0.0        240.0.0.0         10.1.2.2         10.1.2.2     20
            224.0.0.0        240.0.0.0     192.168.16.2     192.168.16.2     10
      255.255.255.255  255.255.255.255         10.1.2.2         10.1.2.2      1
      255.255.255.255  255.255.255.255     192.168.16.2     192.168.16.2      1
    Default Gateway:          10.1.2.1
    ===========================================================================
    Persistent Routes:
      Network Address          Netmask  Gateway Address  Metric
          192.168.0.0      255.255.0.0     192.168.16.1       1


    В Networks: 

    Internal -  192.168.0.0 - 192.168.255.255

    В Networks Rules:

    Internet Access: Route - Internal - External


    21 августа 2009 г. 8:05
  • 16.1 я подозреваю еще один какой то внутренний роутер?
    настораживает вот этот маршрут
    192.168.0.0      255.255.0.0     192.168.16.1       1
    тем что он перекрывает свой "родной"
    192.168.16.0    255.255.255.0     192.168.16.2     192.168.16.2     10
    я не в курсе конечно, возможно винда с этим нормально разбирается и для нее это нормально, но выглядело бы логичнее если б у своег омаршрута метрика была бы поменьше
    еще вижу что у тебя статический nat для внутренних хостов, а у исы есть web proxy filter который принудительно проксирует http и отсылает от своего имени, поэтому для статик ната вижу мало смысла
    21 августа 2009 г. 8:40
    Отвечающий
  • 16.1 я подозреваю еще один какой то внутренний роутер?
    настораживает вот этот маршрут
    192.168.0.0      255.255.0.0     192.168.16.1       1
    тем что он перекрывает свой "родной"
    192.168.16.0    255.255.255.0     192.168.16.2     192.168.16.2     10
    я не в курсе конечно, возможно винда с этим нормально разбирается и для нее это нормально, но выглядело бы логичнее если б у своег омаршрута метрика была бы поменьше
    еще вижу что у тебя статический nat для внутренних хостов, а у исы есть web proxy filter который принудительно проксирует http и отсылает от своего имени, поэтому для статик ната вижу мало смысла

    16.1 это свич к которому ISA подключена. Вот насчет прокси фильтра я как раз сейчас размышляю. Он действительно как-то рушит такую схему. его как-то можно отключить совсем? Прихожу к выводу, что ISA нормально работает лишь в режиме NAT 
    21 августа 2009 г. 9:41
  • его можно снять с протокола, то фактически выключить, тогда не будет ничего проксироваться кэшироваться и http фильтры тоже отключатся
    а этот свич я так понимаю и делает вланы и основным шлююзом у него иса назначена?

    21 августа 2009 г. 10:11
    Отвечающий
  • его можно снять с протокола, то фактически выключить, тогда не будет ничего проксироваться кэшироваться и http фильтры тоже отключатся
    а этот свич я так понимаю и делает вланы и основным шлююзом у него иса назначена?

    Именно так. Это CISCO 6500
    21 августа 2009 г. 10:27
  • его можно снять с протокола, то фактически выключить, тогда не будет ничего проксироваться кэшироваться и http фильтры тоже отключатся
    а этот свич я так понимаю и делает вланы и основным шлююзом у него иса назначена?

    Кстати если отключить web proxy с протокола http то web почему-то работает только если в клиенте прокси прописать. Это так и должно быть?
    21 августа 2009 г. 10:53
  • вообще то нет, должно все и без него работать. лог исы что пишет? может у тебя пикса пропускает веб только с исы?

    21 августа 2009 г. 13:00
    Отвечающий
  • вообще то нет, должно все и без него работать. лог исы что пишет? может у тебя пикса пропускает веб только с исы?

    Спасибо, один косяк нашелся. Пикс действительно пропускал веб только с исы. В понедельник буду дальше ковырять :)
    23 августа 2009 г. 5:56