Cześć,
posiadam dwie maszyny wirtualne, gdzie pierwsza (Serwer_A) terminuje ruch SSL (apache) z zewnątrz, do drugiej (Serwer_B) kierowany jest ruch nieszyfrowany (:80) z tej pierwszej. Dalszy ruch to ruch do serwera aplikacyjnego i db, ale nie jest on jak sądzę istotny.
Maszyny zaadresowane są (w adresacji prywatnej) w różnych podsieciach bezpośrednio skonfigurowanych (podinterfejsy) na ASA. Security-level na obu interfejsach jest taki sam. Komunikacja między serwerami jest OK
Zastanawia mnie jednak bardzo częste logowanie komunikatów na ASA:
%ASA-4-313005: No matching connection for ICMP error message: icmp src INT_DMZ:Serwer_A_IP dst INT_DMZ_2:Serwer_B_IP (type 3, code 10) on INT_DMZ interface. Original IP payload: tcp src Serwer_B_IP/80 dst Serwer_A_IP/37903.
http://www.iana.org/assignments/icmp-pa ... rs-codes-3
Destination Unreachable : Communication with Destination Host is Administratively Prohibited
Co może być problemem pojawiania się takich komunikatów? Jeśli dobrze rozumiem to oryginalny ruch, który jest odrzucany pochodzi z Serwer_B:80 do Serwer_A:wysoki_port i odpowiada on akurat (port) odwrotnej tablicy połączeń, która jest tworzona przy przekierowaniu standardowo ruchu z Serwer_A do Serwer_B:80. Taki typ ruchu niepokoi mnie, bo wskazuje na komunikację powrotną, ale nie zauważam żadnych problemów z działaniem usługi.
Jeśli czegoś istotnego nie dodałem proszę o informacje.
Dzięki
ASA 5506 i dziwne logowanie komunikatu ICMP, ASA-4-313005 (type 3, code 10)
-
- member
- Posty: 43
- Rejestracja: 07 mar 2010, 16:12