Ce document fournit des idées et des suggestions de dépannage pour quand vous utilisez le dispositif de sécurité adaptatif dédié (ASA) de la gamme Cisco ASA 5500 et le dispositif de sécurité de la gamme Cisco PIX 500. Le plus souvent, quand des applications ou sources réseau sont endommagées ou ne sont pas disponibles, les pare-feu (PIX ou ASA) ont tendance à être une cible primaire et à être accusés d'être la cause des pannes. Avec certains tests sur ASA ou PIX, un administrateur peut déterminer si ASA/PIX pose le problème.
Référez-vous à PIX/ASA : Établir et dépanner la connectivité par le dispositif de sécurité Cisco afin d'en savoir plus sur le dépannage lié à l'interface sur les dispositifs de sécurité Cisco.
Remarque : ce document se concentre sur ASA et PIX. Une fois que le dépannage est terminé sur ASA ou PIX, il est probable qu'un dépannage supplémentaire sera nécessaire avec d'autres périphériques (routeurs, commutateurs, serveurs, etc.).
Aucune exigence spécifique n'est associée à ce document.
Les informations contenues dans ce document sont basées sur Cisco ASA 5510 avec OS 7.2.1 et 8.3.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. If your network is live, make sure that you understand the potential impact of any command.
Ce document peut également être utilisé avec les versions de matériel et de logiciel suivantes :
ASA et PIX OS 7.0, 7.1, 8.3 et versions ultérieures
Module de services pare-feu (FWSM) 2.2, 2.3 et 3.1
Remarque : la syntaxe et les commandes spécifiques peuvent varier selon les versions du logiciel.
Pour plus d'informations sur les conventions utilisées dans ce document, reportez-vous à Conventions relatives aux conseils techniques Cisco.
L'exemple suppose qu'ASA ou PIX est en production. La configuration ASA/PIX peut être relativement simple (seulement 50 lignes de configuration) ou complexe (des centaines à des milliers de lignes de configuration). Les utilisateurs (clients) ou les serveurs peuvent être sur un réseau sécurisé (interne) ou sur un réseau non sécurisé (DMZ ou externe).
ASA démarre avec cette configuration. La configuration est destinée à donner au laboratoire un point de référence.
Configuration initiale d'ASA |
---|
ciscoasa#show running-config : Saved : ASA Version 7.2(1) ! hostname ciscoasa enable password 8Ry2YjIyt7RRXU24 encrypted names ! interface Ethernet0/0 nameif outside security-level 0 ip address 172.22.1.160 255.255.255.0 ! interface Ethernet0/1 nameif inside security-level 100 ip address 192.168.1.1 255.255.255.0 ! interface Ethernet0/2 nameif dmz security-level 50 ip address 10.1.1.1 255.255.255.0 ! interface Management0/0 shutdown no nameif no security-level no ip address ! passwd 2KFQnbNIdI.2KYOU encrypted ftp mode passive access-list outside_acl extended permit tcp any host 172.22.1.254 eq www access-list inside_acl extended permit icmp 192.168.1.0 255.255.255.0 any access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq telnet pager lines 24 mtu outside 1500 mtu inside 1500 mtu dmz 1500 no asdm history enable arp timeout 14400 global (outside) 1 172.22.1.253 nat (inside) 1 192.168.1.0 255.255.255.0 !--- The above NAT statements are replaced by the following statements !--- for ASA 8.3 and later. object network obj-192.168.1.0 subnet 192.168.1.0 255.255.255.0 nat (inside,outside) dynamic 172.22.1.253 static (inside,outside) 192.168.1.100 172.22.1.254 netmask 255.255.255.255 !--- The above Static NAT statement is replaced by the following statements !--- for ASA 8.3 and later. object network obj-172.22.1.254 host 172.22.1.254 nat (inside,outside) static 192.168.1.100 access-group outside_acl in interface outside access-group inside_acl in interface inside timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout uauth 0:05:00 absolute no snmp-server location no snmp-server contact snmp-server enable traps snmp authentication linkup linkdown coldstart telnet timeout 5 ssh timeout 5 console timeout 0 ! class-map inspection_default match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map global_policy class inspection_default inspect dns preset_dns_map inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp ! service-policy global_policy global prompt hostname context Cryptochecksum:d41d8cd98f00b204e9800998ecf8427e : end |
Un utilisateur contacte le service informatique et signale que l'application X ne fonctionne plus. L'incident est remonté à l'administrateur ASA/PIX. L'administrateur a peu de connaissances de cette application particulière. À l'aide d'ASA/de PIX, l'administrateur découvre quels ports et protocoles l'application X utilise, ainsi que ce qui pourrait être la cause du problème.
L'administrateur ASA/PIX doit recueillir autant d'informations que possible de l'utilisateur. Les informations utiles sont :
Adresse IP source : il s'agit généralement de la station de travail ou de l'ordinateur de l'utilisateur.
Adresse IP de destination : adresse IP du serveur que l'utilisateur ou l'application tente de connecter.
Les ports et protocoles que l'application utilise.
Souvent, l'administrateur est chanceux s'il est capable d'obtenir une réponse à l'une de ces questions. Pour cet exemple, l'administrateur ne peut recueillir aucune information. Un examen des messages syslog ASA/PIX est idéal, mais il est difficile de localiser le problème si l'administrateur ne sait pas quoi rechercher.
Il y a beaucoup de façons de découvrir l'adresse IP de l'utilisateur. Ce document est relatif à ASA et à PIX. Cet exemple utilise donc ASA et PIX pour découvrir l'adresse IP.
L'utilisateur tente de communiquer avec ASA/PIX. Cette communication peut être ICMP, Telnet, SSH ou HTTP. Le protocole choisi devrait avoir limité l'activité sur ASA/PIX. Dans cet exemple spécifique, l'utilisateur effectue un ping sur l'interface interne d'ASA.
L'administrateur a besoin de configurer une ou plusieurs des options suivantes, puis que l'utilisateur effectue un ping sur l'interface interne d'ASA.
Syslog
Assurez-vous que la journalisation est activée. Le niveau de journalisation doit être défini sur debug. La journalisation peut être envoyée à différents emplacements. Cet exemple utilise la mémoire tampon du journal ASA. Vous pouvez avoir besoin d'un serveur de journalisation externe dans les environnements de production.
ciscoasa(config)#logging enable ciscoasa(config)#logging buffered debugging
L'utilisateur effectue un ping sur l'interface interne d'ASA (ping 192.168.1.1). La sortie suivante s'affiche.
ciscoasa#show logging !--- Output is suppressed. %ASA-6-302020: Built ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 %ASA-6-302021: Teardown ICMP connection for faddr 192.168.1.50/512 gaddr 192.168.1.1/0 laddr 192.168.1.1/0 !--- The user IP address is 192.168.1.50.
Fonctionnalité Capture d'ASA
L'administrateur a besoin de créer une liste d'accès qui définit quel trafic ASA doit capturer. Une fois la liste d'accès créée, la commande capture incorpore la liste d'accès et l'applique à l'interface.
ciscoasa(config)#access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#capture inside_interface access-list inside_test interface inside
L'utilisateur effectue un ping sur l'interface interne d'ASA (ping 192.168.1.1). La sortie suivante s'affiche.
ciscoasa#show capture inside_interface 1: 13:04:06.284897 192.168.1.50 > 192.168.1.1: icmp: echo request !--- The user IP address is 192.168.1.50.
Remarque : afin de télécharger le fichier de capture sur un système tel qu'ethereal, vous pouvez le faire comme le montre cette sortie.
!--- Open an Internet Explorer and browse with this https link format: https://[/ ]/capture/ /pcap
Référez-vous à ASA/PIX : Exemple de configuration de capture de paquets à l'aide de CLI et ASDM afin d'en savoir plus sur la capture de paquets dans ASA.
Déboguer
La commande debug icmp trace est utilisée pour capturer le trafic ICMP de l'utilisateur.
ciscoasa#debug icmp trace
L'utilisateur effectue un ping sur l'interface interne d'ASA (ping 192.168.1.1). Cette sortie est affichée sur la console.
ciscoasa# !--- Output is suppressed. ICMP echo request from 192.168.1.50 to 192.168.1.1 ID=512 seq=5120 len=32 ICMP echo reply from 192.168.1.1 to 192.168.1.50 ID=512 seq=5120 len=32 !--- The user IP address is 192.168.1.50.
Afin de désactiver debug icmp trace, utilisez l'une des commandes suivantes :
no debug icmp trace
undebug icmp trace
undebug all, Undebug all ou un all
Chacune de ces trois options aide l'administrateur à déterminer l'adresse IP source. En cet exemple, l'adresse IP source de l'utilisateur est 192.168.1.50. L'administrateur est prêt à en apprendre plus sur l'application X et à déterminer la cause du problème.
Concernant les informations mentionnées dans la section Étape 1 de ce document, l'administrateur connaît maintenant la source d'une session de l'application x. L'administrateur est prêt à en apprendre plus sur l'application X et à commencer à localiser le problème.
L'administrateur ASA/PIX doit préparer ASA pour au moins l'une des suggestions énumérées. Une fois que l'administrateur est prêt, l'utilisateur lance l'application X et limite toute autre activité car une activité utilisateur supplémentaire pourrait entraîner la confusion ou tromper l'administrateur ASA/PIX.
Surveiller les messages syslog.
Recherchez l'adresse IP source de l'utilisateur que vous avez localisée à l'étape 1. L'utilisateur lance l'application X. L'administrateur ASA émet la commande show logging et affiche la sortie.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025)
Les journaux indiquent que l'adresse IP de destination est 172.22.1.1, que le protocole est TCP, que le port de destination est HTTP/80 et que le trafic est envoyé à l'interface externe.
Modifier les filtres de capture.
La commande access-list inside_test a été utilisée précédemment et est utilisée ici.
ciscoasa(config)#access-list inside_test permit ip host 192.168.1.50 any !--- This ACL line captures all traffic from 192.168.1.50 !--- that goes to or through the ASA. ciscoasa(config)#access-list inside_test permit ip any host 192.168.1.50 any !--- This ACL line captures all traffic that leaves !--- the ASA and goes to 192.168.1.50. ciscoasa(config)#no access-list inside_test permit icmp any host 192.168.1.1 ciscoasa(config)#clear capture inside_interface !--- Clears the previously logged data. !--- The no capture inside_interface removes/deletes the capture.
L'utilisateur lance l'application X. L'administrateur ASA émet alors la commande show capture inside_interface et affiche la sortie.
ciscoasa(config)#show capture inside_interface 1: 15:59:42.749152 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 2: 15:59:45.659145 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK> 3: 15:59:51.668742 192.168.1.50.1107 > 172.22.1.1.80: S 3820777746:3820777746(0) win 65535 <mss 1460,nop,nop,sackOK>
Le trafic capturé fournit à l'administrateur plusieurs informations précieuses :
Adresse de destination : 172.22.1.1
Numéro de port : 80/http
Protocole : TCP (notez l'indicateur S ou syn)
En outre, l'administrateur sait également que le trafic de données pour l'application X arrive à ASA.
Si la sortie avait été la sortie de commande show capture inside_interface suivante, le trafic de l'application n'a jamais atteint ASA ou le filtre de capture n'était pas défini pour capturer le trafic :
ciscoasa#show capture inside_interface 0 packet captured 0 packet shown
Dans ce cas, l'administrateur doit envisager d'examiner l'ordinateur de l'utilisateur ainsi que tout routeur ou autres périphériques réseau sur le chemin entre l'ordinateur de l'utilisateur et ASA.
Remarque : lorsque le trafic arrive sur une interface, la commande capture enregistre les données avant que les stratégies de sécurité ASA analysent le trafic. Par exemple, une liste d'accès refuse tout le trafic entrant sur une interface. La commande capture enregistre néanmoins le trafic. La stratégie de sécurité ASA analyse alors le trafic.
Déboguer
L'administrateur n'est pas familiarisé avec l'application X ; il ne sait donc pas lequel des services de débogage activer pour l'examen de l'application X. Le débogage n'est peut-être pas la meilleure option de dépannage à ce stade.
Avec les informations collectées à l'étape 2, l'administrateur ASA gagne plusieurs bribes d'informations précieuses. L'administrateur sait que le trafic arrive à l'interface interne d'ASA, il connaît l'adresse IP source et l'adresse IP de destination, et il sait quel service l'application X utilise (TCP/80). À partir des messages syslog, l'administrateur sait également que la communication a été initialement permise.
L'administrateur ASA veut vérifier que le trafic de l'application X a quitté ASA et également surveiller tout trafic de retour à partir du serveur de l'application X.
Surveiller les messages syslog.
Filtrez les messages syslog pour l'adresse IP source (192.168.1.50) ou l'adresse IP de destination (172.22.1.1). À partir de la ligne de commande, le filtrage des messages syslog ressemble à show logging | include 192.168.1.50 ou show logging | include 172.22.1.1. Dans cet exemple, la commande show logging est utilisé sans filtres. La sortie est supprimée afin de rendre la lecture facile.
ciscoasa#show logging !--- Output is suppressed. %ASA-7-609001: Built local-host inside:192.168.1.50 %ASA-7-609001: Built local-host outside:172.22.1.1 %ASA-6-305011: Built dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 %ASA-6-302013: Built outbound TCP connection 90 for outside:172.22.1.1/80 (172.22.1.1/80) to inside:192.168.1.50/1107 (172.22.1.254/1025) %ASA-6-302014: Teardown TCP connection 90 for outside:172.22.1.1/80 to inside:192.168.1.50/1107 duration 0:00:30 bytes 0 SYN Timeout %ASA-7-609002: Teardown local-host outside:172.22.1.1 duration 0:00:30 %ASA-6-305012: Teardown dynamic TCP translation from inside:192.168.1.50/1107 to outside:172.22.1.254/1025 duration 0:01:00 %ASA-7-609002: Teardown local-host inside:192.168.1.50 duration 0:01:00
Le message syslog indique que la connexion est fermée en raison de l'expiration de SYN. Cela indique à l'administrateur qu'aucune réponse du serveur de l'application X n'a été reçue par ASA. Les raisons d'arrêt des messages syslog peuvent varier.
L'expiration de SYN est enregistrée dans un journal en raison d'un arrêt de connexion forcé après 30 secondes qui se produit après l'achèvement de la connexion en trois temps. Ce problème se produit habituellement si le serveur ne répond pas à une demande de connexion, et, dans la plupart des cas, n'est pas lié à la configuration sur PIX/ASA.
Afin de résoudre ce problème, référez-vous à la liste de contrôle suivante :
Assurez-vous que la commande static est entrée correctement et qu'elle ne chevauche pas d'autres commandes static, par exemple,
static (inside,outside) x.x.x.x y.y.y.y netmask 255.255.255.255
La NAT statique dans ASA 8.3 et versions ultérieures peut être configurée comme indiqué ici :
object network obj-y.y.y.y host y.y.y.y nat (inside,outside) static x.x.x.x
Assurez-vous qu'il existe une liste d'accès afin de permettre l'accès à l'adresse IP globale à partir de l'extérieur et qu'elle est liée à l'interface :
access-list OUTSIDE_IN extended permit tcp any host x.x.x.x eq www access-group OUTSIDE_IN in interface outside
Pour une connexion réussie avec le serveur, la passerelle par défaut sur le serveur doit pointer vers l'interface DMZ de PIX/ASA.
Référez-vous à Messages système ASA pour plus d'informations sur les messages syslog.
Créer un nouveau filtre de capture.
Grâce au précédent trafic capturé et aux précédents messages syslog, l'administrateur sait que l'application X devrait quitter ASA via l'interface externe.
ciscoasa(config)#access-list outside_test permit tcp any host 172.22.1.1 eq 80 !--- When you leave the source as 'any', it allows !--- the administrator to monitor any network address translation (NAT). ciscoasa(config)#access-list outside_test permit tcp host 172.22.1.1 eq 80 any !--- When you reverse the source and destination information, !--- it allows return traffic to be captured. ciscoasa(config)#capture outside_interface access-list outside_test interface outside
L'utilisateur doit lancer une nouvelle session avec l'application X. Une fois que l'utilisateur a lancé une nouvelle session de l'application X, l'administrateur ASA doit émettre la commande show capture outside_interface sur ASA.
ciscoasa(config)#show capture outside_interface 3 packets captured 1: 16:15:34.278870 172.22.1.254.1026 > 172.22.1.1.80: S 1676965539:1676965539(0) win 65535 <mss 1380,nop,nop,sackOK> 2: 16:15:44.969630 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3: 16:15:47.898619 172.22.1.254.1027 > 172.22.1.1.80: S 990150551:990150551(0) win 65535 <mss 1380,nop,nop,sackOK> 3 packets shown
La capture montre le trafic quittant l'interface externe mais ne montre aucun trafic de réponse en provenance du serveur 172.22.1.1. Cette capture montre les données lorsqu'elles quittent ASA.
Utiliser l'option de suivi de paquets.
Grâce aux sections précédentes, l'administrateur ASA a appris assez d'informations pour utiliser l'option packet-tracer dans ASA.
Remarque : l'ASA prend en charge la commande packet-tracer à partir de la version 7.2.
ciscoasa#packet-tracer input inside tcp 192.168.1.50 1025 172.22.1.1 http !--- This line indicates a source port of 1025. If the source !--- port is not known, any number can be used. !--- More common source ports typically range !--- between 1025 and 65535. Phase: 1 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: MAC Access list Phase: 2 Type: ACCESS-LIST Subtype: Result: ALLOW Config: Implicit Rule Additional Information: MAC Access list Phase: 3 Type: FLOW-LOOKUP Subtype: Result: ALLOW Config: Additional Information: Found no matching flow, creating a new flow Phase: 4 Type: ROUTE-LOOKUP Subtype: input Result: ALLOW Config: Additional Information: in 172.22.1.0 255.255.255.0 outside Phase: 5 Type: ACCESS-LIST Subtype: log Result: ALLOW Config: access-group inside_acl in interface inside access-list inside_acl extended permit tcp 192.168.1.0 255.255.255.0 any eq www Additional Information: Phase: 6 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 7 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 8 Type: NAT Subtype: Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Dynamic translate 192.168.1.50/1025 to 172.22.1.254/1028 using netmask 255.255.255.255 Phase: 9 Type: NAT Subtype: host-limits Result: ALLOW Config: nat (inside) 1 192.168.1.0 255.255.255.0 match ip inside 192.168.1.0 255.255.255.0 outside any dynamic translation to pool 1 (172.22.1.254) translate_hits = 6, untranslate_hits = 0 Additional Information: Phase: 10 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 11 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 12 Type: IP-OPTIONS Subtype: Result: ALLOW Config: Additional Information: Phase: 13 Type: CAPTURE Subtype: Result: ALLOW Config: Additional Information: Phase: 14 Type: FLOW-CREATION Subtype: Result: ALLOW Config: Additional Information: New flow created with id 94, packet dispatched to next module Phase: 15 Type: ROUTE-LOOKUP Subtype: output and adjacency Result: ALLOW Config: Additional Information: found next-hop 172.22.1.1 using egress ifc outside adjacency Active next-hop mac address 0030.a377.f854 hits 11 !--- The MAC address is at Layer 2 of the OSI model. !--- This tells the administrator the next host !--- that should receive the data packet. Result: input-interface: inside input-status: up input-line-status: up output-interface: outside output-status: up output-line-status: up Action: allow
La sortie la plus importante de la commande packet-tracer est la dernière ligne, qui est Action : allow.
Les trois options à l'étape 3 montrent chacune à l'administrateur qu'ASA n'est pas responsable des problèmes de l'application X. Le trafic de l'application X quitte ASA et ASA ne reçoit pas de réponse du serveur de l'application X.
Il y a beaucoup de composants qui permettent à l'application X de fonctionner correctement pour des utilisateurs. Ces composants incluent l'ordinateur de l'utilisateur, le client de l'application X, le routage, les stratégies d'accès et le serveur de l'application X. Dans l'exemple précédent, nous avons montré qu'ASA reçoit et transfert le trafic de l'application X. Les administrateurs du serveur et de l'application X doivent maintenant s'impliquer. Les administrateurs doivent vérifier que les services de l'application s'exécutent, passer en revue tous les journaux sur le serveur et vérifier que le trafic de l'utilisateur est reçu par le serveur et l'application X.
Vous recevez le message d'erreur suivant :
%PIX|ASA-5-507001: Terminating TCP-Proxy connection from interface_inside:source_address/source_port to interface_outside:dest_address/dest_port - reassembly limit of limit bytes exceeded
Explication : ce message s'affiche lorsque la limite du tampon de réassemblage est dépassée pendant l'assemblage des segments TCP.
source_address/source_port - Adresse IP source et port source du paquet lançant la connexion.
dest_address/dest_port - Adresse IP de destination et port de destination du paquet lançant la connexion.
interface_inside - Nom de l'interface sur laquelle le paquet qui a lancé la connexion arrive.
interface_outside - Nom de l'interface sur laquelle le paquet qui a lancé la connexion sort.
limit - Limite de la connexion embryonnaire configurée pour la classe de trafic.
La résolution de ce problème est de désactiver l'inspection RTSP dans le dispositif de sécurité, comme indiqué.
policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect rsh no inspect rtsp
Référez-vous à l'ID de bogue Cisco CSCsl15229 (clients enregistrés seulement) pour plus de détails.
ASA abandonne le trafic avec l'erreur : %ASA-6-110003 : Le routage n'a pas réussi à localiser le tronçon suivant pour le protocole de l'interface src : port src IP/src à l'interface dest : message d'erreur dest IP/dest port.
Cette erreur se produit lorsque l'ASA tente de trouver le saut suivant sur une table de routage d'interface. En général, ce message est reçu quand ASA a une traduction (xlate) construite sur une interface et une route pointant vers une autre interface. Recherchez une configuration incorrecte sur les instructions NAT. La résolution de la mauvaise configuration peut résoudre l'erreur.
La connexion est bloquée par ASA et le message d'erreur suivant s'affiche :
%ASA-5-305013: Asymmetric NAT rules matched for forward and reverse flows; Connection protocol src interface_name:source_address/source_port dest interface_name:dest_address/dest_port denied due to NAT reverse path failure.
Lorsque la NAT est exécutée, ASA tente également d'inverser le paquet et vérifie si cela a un impact sur une traduction. S'il n'atteint aucune traduction NAT ou une traduction NAT différente, alors il y a une non-correspondance. Ce message d'erreur s'affiche le plus souvent lorsque différentes règles NAT sont configurées pour le trafic sortant et entrant avec la même source et la même destination. Vérifiez l'instruction NAT pour le trafic concerné.
Cette erreur signifie que les connexions d'un serveur situé sur un ASA ont atteint leur limite maximale. Cela peut indiquer une attaque DoS contre un serveur de votre réseau. Utilisez MPF sur l'ASA et réduisez la limite de connexions embryonnaires. Activez également la détection des connexions inactives (DCD, Dead Connection Detection). Référez-vous à cet extrait de configuration :
class-map limit match access-list limit ! policy-map global_policy class limit set connection embryonic-conn-max 50 set connection timeout embryonic 0:00:10 dcd ! access-list limit line 1 extended permit tcp any host x.x.x.x
Ce message de journal est reçu lorsque la vérification du chemin inverse est activée. Émettez cette commande afin de résoudre le problème et désactiver la vérification du chemin inverse :
no ip verify reverse-path interface
Ce message d'erreur est reçu sur l'ASA :
%ASA-4-733100: [Miralix Licen 3000] drop rate-1 exceeded. Current burst rate is 100 per second, max configured rate is 10; Current average rate is 4 per second, max configured rate is 5; Cumulative total count is 2526
Ce message est généré par la détection des menaces en raison de la configuration par défaut lorsqu'un comportement anormal du trafic est détecté. Le message se concentre sur la licence Miralix 3000 qui est un port TCP/UDP. Localisez le périphérique qui utilise le port 3000. Vérifiez les statistiques graphiques ASDM pour la détection des menaces et vérifiez les principales attaques pour voir si le port 3000 et l'adresse IP source sont affichés. S'il s'agit d'un périphérique légitime, vous pouvez incrémenter le taux de détection des menaces de base sur ASA afin de résoudre ce message d'erreur.
Révision | Date de publication | Commentaires |
---|---|---|
1.0 |
17-Oct-2006 |
Première publication |