AS-400 e PIX

alfred_hope · lun 29 gen , 2007 4:10 pm

Ciao ragazzi,

Innanzitutto facciamo una premessa, vi ho trovato quasi per sbaglio, infatti cercavo su internet se qualcuno avvessi i miei stessi problemi, ed è venuta fuori questa comunity che è davvero interessante (ho già letto molto).

Il mio problema è il seguente.:

PIX 525 con 6 eth di cui (nell'ordine di sicurezza): inside, clientnet, dmz, failover, outside ed una non usata. Il fw è il 7.2.2 che ho installato da qualche settimana ed lì è iniziato il problema (la versione vecchia era la 6.3).

Sulla rete inside ho un AS400 che deve inviare delle mail in protocollo SMTP ad un SMTP server (outlook 2003) che risiede in outside, i quale provvede ad inoltrarle a destinatari.
Ogni mail corrisponde a una comunicazione TCP tra le due macchine (scusate se dico cose scontate), ed il problema si manifesta nel modo che sono di più le comunicazioni TCP interrotte per "duplicate ACK" o perchè c'è un alto tasso di cecksum errati, che quelle portate a termine.
Tutto ciò è stato da me monitorato con ethereal.
Se volete (e pensate che possa servire) posso postare il dump del traffico.

Ho provato a portare l'AS400 in DMZ e il problema permane, l'unico modo per far funzionare il tutto è quello di portare l'AS400 in outside, ma chiaramente ciò non può essere una soluzione definitiva.

Mi era venuto in mente anche di disabilitare il "randomize sequence" ma questo non ha portato alcun effetto positivo.

Ho altresì configurato più SMTP client, sia su linux che su windows sulla scheda inside, ed la comunicazioni con il SMTP server funziona alla grande.

Di conseguenza la mia diagnosi è che questa versione di fw del PIX non va d'accordo sull'implementazione del SMTP client dell'AS400 generando i problemi sopra esposti, cioè sconnessioni inattese ed un alto numero di cecksum errati.

C'è qualcuno che c'è già passato?

Grazie a chiunque mi risponde.
Alfredo

PS: come mai non riesco più fare il debug... attivo il debug e non traccia niente ne in console ne nel syslog (che è debitamente configurato ed è primario nella versione 7.2)

Wizard · lun 29 gen , 2007 10:14 pm

Togli l'ispection sul protocollo esmtp.
Facci sapere

alfred_hope · lun 29 gen , 2007 11:33 pm

Grazie. Non ci avevo pensato. Domani provo.

Ma secondo te come mai non funziona. Dopottutto è solo l'AS400

che fà questi capricci mentre tutti gli altri client SMTP funzionano perfettamente.

Alfred

alfred_hope · mar 30 gen , 2007 10:01 am

alfred_hope ha scritto:Grazie. Non ci avevo pensato. Domani provo.

Fatto funziona tutto perfettamente...

Grazie ancora
Alfred

Wizard · mar 30 gen , 2007 1:45 pm

Probailmente la versione 7.2.2 del PIX (e anche del ASA) non conosce alcuni comandi del protocollo smtp e quindi li droppa!

alfred_hope · mer 31 gen , 2007 2:13 pm

Ciao,

Mi dicono i miei utenti che lavorano dietro il PIX che mappano dei dischi di rete (network share) dietro la scheda Outside, che spesso questi dischi gli si scollegano.

Ho verificato che non raggiungono il time-out della sessione tcp in idle, ho anche verificato che il problema è analogo a quello del SMTP, (ack duplicati, ecc), per tanto ho praticamente disabilitato tutti i protocolli attivi nella inspection_default lasciando solo il SQLNET, ICMP ed HTTP, che non dovrebbero c'entrare.

Non l'ho ancora risolto.

Suggerimenti???
Certo che sta versione di fw mi sta creando un sacco di problemi...

Alfred

AS-400 e PIX

Login • Iscriviti