ZB Firewall dropuje powracające pakiety

Problemy z zakresu security (VPN, firewall, IDS/IPS itp.)
Wiadomość
Autor
piotrbh
newbie
newbie
Posty: 1
Rejestracja: 12 wrz 2018, 10:40

ZB Firewall dropuje powracające pakiety

#1

#1 Post autor: piotrbh »

Witam szanowne forum

Mam router Cisco 1921 K9, aktualnie soft 15.5(3)M2), używana zapora to ZBFW,
są skonfigurowane 3 strefy (in, out, self), 4 pary stref (out>self, self>out, in>out, out>in),
obecnie wszystkie reguły mają skonfigurowaną akcję "inspect" (poza ostatnią dla "unmatched trafic" która ma "drop")
W parze in>out mam regułę:

Kod: Zaznacz cały

ip access-list extended a1
 remark CCP_ACL Category=128
 permit ip host 192.168.150.22 any

class-map type inspect match-any a01
 match protocol smtp
 match protocol dns
 match protocol https
 match protocol http

class-map type inspect match-all ccp-cls-ccp-inspect-0
 match class-map a01
 match access-group name a1
Generalnie to działa, niestety w logu widzę coś takiego:
*Sep 12 09:19:04.039: %FW-6-DROP_PKT: Dropping udp session 62.233.233.233:53 192.168.150.22:13379 on zone-pair sdm-zp-VPNOutsideToInside-1 class class-default due to DROP action found in policy-map with ip ident 39878
*Sep 12 09:19:34.695: %FW-6-DROP_PKT: Dropping udp session 87.204.204.204:53 192.168.150.22:22877 on zone-pair sdm-zp-VPNOutsideToInside-1 class class-default due to DROP action found in policy-map with ip ident 41610
*Sep 12 09:21:23.451: %FW-6-DROP_PKT: Dropping udp session 87.204.204.204:53 192.168.150.22:50776 on zone-pair sdm-zp-VPNOutsideToInside-1 class class-default due to DROP action found in policy-map with ip ident 46551

Reguła inspect dla ruchu wychodzącego powinna przepuszczać powracające odpowiedzi. I to tak działa, ale jakiś niewielki procent ruchu (szczególnie DNS) jest jednak dropowany.
Powoduje to błędy, powtórki, generalnie czkawkę.
Czy można coś na to poradzić? Czy to mój błąd w konfiguracji zapory?
Z góry dziękuję za sugestie

ODPOWIEDZ