Cisco ASA 5500 Firewall + Farkli Aglarin Birbirine Erisimi
CLI Guru - Cisco Eğitim ve Danışmanlık Merkezi |

2007 yılından bu yana aktif olan ciscotr.com, kısa bir süre sonra " www.bilisim.pro " olarak devam edecektir.  
Mevcut mesajlarınız ve kullanıcı bilgilerinizle yenilenen sitemizde katılıma devam edebileceksiniz.

+ Konuyu Cevapla
Toplam 2 Sayfadan 1. Sayfa 12 SonuncuSonuncu
Toplam 13 sonuçtan 1 ile 10 arasındakiler gösteriliyor.
Cisco ASA 5500 Firewall + Farkli Aglarin Birbirine Erisimi

Merhaba Arkadaslar, ASA' da farkli vlan' lerde yer alan cihazlarin birbirine ulasmasi ile ilgili bir problem yasiyorum. ASA loglarini inceledigimde asagidaki gibi bir mesaj yer aliyor: "%PIX|ASA-6-106015: Deny TCP (no

  1. #1
    irony isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    914

    Standart Cisco ASA 5500 Firewall + Farkli Aglarin Birbirine Erisimi

    Merhaba Arkadaslar,

    ASA' da farkli vlan' lerde yer alan cihazlarin birbirine ulasmasi ile ilgili bir problem yasiyorum. ASA loglarini inceledigimde asagidaki gibi bir mesaj yer aliyor:

    "%PIX|ASA-6-106015: Deny TCP (no connection) from IP_address/port to IP_address/port flags tcp_flags on interface interface_name.
    The security appliance discarded a TCP packet that has no associated connection in the security appliance connection table. The security appliance looks for a SYN flag in the packet, which indicates a request to establish a new connection. If the SYN flag is not set, and there is not an existing connection, the security appliance discards the packet."

    Yapiyi da soyle ozetliyim:

    Cisco bir swithimiz var. Bu switch uzerinde VLAN' ler mevcut:
    vlan 2: 192.168.1.0/24
    vlan 3: 172.16.3.0/24

    vlan3 ' e dahil oldugumda vlan2' de yer alan makinelerden bazilarina ssh ile ulasabilirken, bir kismina ulasamiyorum. Loglar da ise yukaridaki gibi uyari mesaji veriyor. Yalniz vlan2' deki butun makineleri pingleyebiliyorum.

    Bu konuda yardimlarinizi bekliyorum.

  2. #2
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Daha önceden çalışıyordu yenimi bu problem oldu yoksa bu uygulamaya başlandığındamı oldu? sorunun ne aşamada oluştuğunu bilmemiz sorunu bulmamızda yardımcı olur , tcp handshake de bir sorun var sanki
    Mr.google knows everything , ask to him...

  3. #3
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    Error Message %PIX-6-106015: Deny TCP (no connection) from IP_address/port to
    IP_address/port flags tcp_flags on interface interface_name.

    Explanation This message is logged when the firewall discards a TCP packet that has no associated connection in the firewall unit's connection table. The firewall looks for a SYN flag in the packet, which indicates a request to establish a new connection. If the SYN flag is not set, and there is not an existing connection, the firewall discards the packet.

    Recommended Action None required unless the firewall receives a large volume of these invalid TCP packets. If this is the case, trace the packets to the source and determine the reason these packets were sent.
    Mr.google knows everything , ask to him...

  4. #4
    irony isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    914

    Standart

    Merhaba Ghost,

    Problemin hangi asamada ortaya ciktigi konusunda net bir tahminim yok cunku ASA' nin yapilandirilmasi bittikten sonra test ettigim makinelerde boyle bir durumla karsilasmadim. Sanirim bunun nedeni de bazi makinelere ulasma ile ilgili problemin olmamasi. Bugun ilk kez ayni agdaki baska bir makineye erisirken farkettim. Bir kismina ulasiyorum bir kismina ulasamiyorum. L4 ile ilgili nasil bir problem var cozemedim. Acaba asa bunu bir cesit saldiri olarak mi goruyor. Bunu nasil engellerim bilmiyorum?

  5. #5
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    packet tracer la paketlerin trafiğini izledinmi ?
    Mr.google knows everything , ask to him...

  6. #6
    irony isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    914

    Standart

    Hayir henuz izleme firsatim olmadi. Ama trace atarak ulastigi yola baktim. Bir problem yok.

  7. #7
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    packet tracer da ssh portunu seçip test yapabilirsin belki bir fikir verir , ama bazı bilg larda sadece bu oluyorsa sorun ya onlardan kaynaklanıyodur yada ASA da onları yasaklayan bir rule vardır
    Mr.google knows everything , ask to him...

  8. #8
    irony isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    914

    Standart

    ASA rule' larini tek tek kontrol ettim. Her iki networkunde security-level
    ' lari ayni ve 100.

    Vlan3 ' e ait ACL' lerde vlan2' de dahil olmak uzere butun aglara permit verilmis durumda. Ve en alttaki kuralda internete cikmasi icin destination ant permit var.

    vlan2' de ise hicbir ACL yok. Bu durumda security level' i 100 oldugu icin butun aga ulasmasi gerekiyor.

    Yalniz sunuda belirtmekte fayda var. Yukarida belirttigim IP uzaylari fake. vlan2' nin uzayi public' de. Vlan3' de private'da.

  9. #9
    GhoSt isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Dec 2007
    Bulunduğu yer
    Ankara
    Mesajlar
    1,664

    Standart

    fake derken :S vlan2 olanlar dışarıdan site2site yada vpn client vs ile içeri dahil oluyolar anladığım kadarıyla
    Yapı nedir tam olarak detaylı anlatırmısın , publicten gelenlerin router ında engelleyici bir rule olabilir belki de
    Mr.google knows everything , ask to him...

  10. #10
    irony isimli Üye şimdilik offline konumundadır Senior Member
    Üyelik tarihi
    Nov 2008
    Mesajlar
    914

    Standart

    Public' de herhangi bir rule tanimli degil.

    Simdi yapi su sekilde. Private olanlar sadece nete cikarken PAT yapiliyor. Onun disinda icerideki butun networklere sinirsizca ulasmasini istiyorum bunun icinde butun uzaylara tek tek permit verilmis durumda ( Hali ile vlan3 ' e de permit verildi).

    Public olarin private network de dahil icerdeki diger networklere erismede hic bir problemi yok.

    Tek sorun private' tan publicde ayni uzaydaki bazi makinelere ulasip bazilarina ulasamamasi.

+ Konuyu Cevapla

Bu Konuyu Paylaşın !

Bu Konuyu Paylaşın !

Yetkileriniz

  • Konu Acma Yetkiniz Yok
  • Cevap Yazma Yetkiniz Yok
  • Eklenti Yükleme Yetkiniz Yok
  • Mesajınızı Değiştirme Yetkiniz Yok