ASA flagi tcp

[zet69]

Witam,
szukam odpowiedzi na pytanie, z ktorego kierunku przyszedl pakiet z flaga FIN?

Mam duzo polaczen ktore wygladaja tak (half-closed):

Kod: Zaznacz cały

TCP internal_web:X.X.X.X/40870 web_app:Y.Y.Y.Y/80, flags UfrIOB, idle 1s, uptime 16s, timeout 15m0s, bytes 2360

X.X.X.X jest w security level 30
Y.Y.Y.Y security level 50

Dla przypomnienia:
F - outside FIN
f - inside FIN

Pytanie czy flaga f oznacza ze FIN zostal wyslany z X.X.X.X czy tez Y.Y.Y.Y?

Mi osobiscie wydaje sie ze z Y.Y.Y.Y ale wtedy ni jak maja sie flagi polaczenia, ACK na FIN powinno przyjsc z outside czyli R? A moze cos dziala nie tak jak powinno?

[bugi]

Hej,

Połączenie jest typu INBOUND , nie wiem jakie maja sec level interfejsy ale domyślam się że web_app to inside. Wygląda na to że serwer Y.Y.Y.Y wysyła fin oraz ack. Spójrz na ten doc link
Pozdr,

[zet69]

Hej,

Połączenie jest typu INBOUND , nie wiem jakie maja sec level interfejsy ale domyślam się że web_app to inside. Wygląda na to że serwer Y.Y.Y.Y wysyła fin oraz ack. Spójrz na ten doc link
Pozdr,

Czesc, dokument widzialem wczesniej.

Jesli Y.Y.Y.Y wysyla FIN to ACK powinien wyslac dopiero po otrzymaniu FIN z X.X.X.X?

Da sie jakos namierzyc sprawdzic czy jest to taki wyjatek jak opisany w linku ?

[tomiabc]

z tego co pamiętam, to było ostatnio kilka bugów związanych z działaniem tej tablicy.

Możesz łatwo zobaczyć który host pierwszy pierwszy pakiet z flagą FIN. Wystarczy, że skonfigurujesz dwa packet capture na każdym interfejsie i "zsynchronizujesz" je komendą 'clear cap /all'

Najlepiej skonfigurować dwa, bo będziesz miał pewność, że ASA nie gubi żadnego.