ASA 5506 i dziwne logowanie komunikatu ICMP, ASA-4-313005 (type 3, code 10)

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
ODPOWIEDZ
Wiadomość
Autor
puntigamerek
member
member
Posty: 43
Rejestracja: 07 mar 2010, 16:12

ASA 5506 i dziwne logowanie komunikatu ICMP, ASA-4-313005 (type 3, code 10)

#1

#1 Post autor: puntigamerek »

Cześć,
posiadam dwie maszyny wirtualne, gdzie pierwsza (Serwer_A) terminuje ruch SSL (apache) z zewnątrz, do drugiej (Serwer_B) kierowany jest ruch nieszyfrowany (:80) z tej pierwszej. Dalszy ruch to ruch do serwera aplikacyjnego i db, ale nie jest on jak sądzę istotny.

Maszyny zaadresowane są (w adresacji prywatnej) w różnych podsieciach bezpośrednio skonfigurowanych (podinterfejsy) na ASA. Security-level na obu interfejsach jest taki sam. Komunikacja między serwerami jest OK

Zastanawia mnie jednak bardzo częste logowanie komunikatów na ASA:
%ASA-4-313005: No matching connection for ICMP error message: icmp src INT_DMZ:Serwer_A_IP dst INT_DMZ_2:Serwer_B_IP (type 3, code 10) on INT_DMZ interface. Original IP payload: tcp src Serwer_B_IP/80 dst Serwer_A_IP/37903.

http://www.iana.org/assignments/icmp-pa ... rs-codes-3
Destination Unreachable : Communication with Destination Host is Administratively Prohibited

Co może być problemem pojawiania się takich komunikatów? Jeśli dobrze rozumiem to oryginalny ruch, który jest odrzucany pochodzi z Serwer_B:80 do Serwer_A:wysoki_port i odpowiada on akurat (port) odwrotnej tablicy połączeń, która jest tworzona przy przekierowaniu standardowo ruchu z Serwer_A do Serwer_B:80. Taki typ ruchu niepokoi mnie, bo wskazuje na komunikację powrotną, ale nie zauważam żadnych problemów z działaniem usługi.

Jeśli czegoś istotnego nie dodałem proszę o informacje.

Dzięki
Na górę
ODPOWIEDZ

Wróć do „Security”