AS-400 e PIX
Inviato: lun 29 gen , 2007 4:10 pm
Ciao ragazzi,
Innanzitutto facciamo una premessa, vi ho trovato quasi per sbaglio, infatti cercavo su internet se qualcuno avvessi i miei stessi problemi, ed è venuta fuori questa comunity che è davvero interessante (ho già letto molto).
Il mio problema è il seguente.:
PIX 525 con 6 eth di cui (nell'ordine di sicurezza): inside, clientnet, dmz, failover, outside ed una non usata. Il fw è il 7.2.2 che ho installato da qualche settimana ed lì è iniziato il problema (la versione vecchia era la 6.3).
Sulla rete inside ho un AS400 che deve inviare delle mail in protocollo SMTP ad un SMTP server (outlook 2003) che risiede in outside, i quale provvede ad inoltrarle a destinatari.
Ogni mail corrisponde a una comunicazione TCP tra le due macchine (scusate se dico cose scontate), ed il problema si manifesta nel modo che sono di più le comunicazioni TCP interrotte per "duplicate ACK" o perchè c'è un alto tasso di cecksum errati, che quelle portate a termine.
Tutto ciò è stato da me monitorato con ethereal.
Se volete (e pensate che possa servire) posso postare il dump del traffico.
Ho provato a portare l'AS400 in DMZ e il problema permane, l'unico modo per far funzionare il tutto è quello di portare l'AS400 in outside, ma chiaramente ciò non può essere una soluzione definitiva.
Mi era venuto in mente anche di disabilitare il "randomize sequence" ma questo non ha portato alcun effetto positivo.
Ho altresì configurato più SMTP client, sia su linux che su windows sulla scheda inside, ed la comunicazioni con il SMTP server funziona alla grande.
Di conseguenza la mia diagnosi è che questa versione di fw del PIX non va d'accordo sull'implementazione del SMTP client dell'AS400 generando i problemi sopra esposti, cioè sconnessioni inattese ed un alto numero di cecksum errati.
C'è qualcuno che c'è già passato?
Grazie a chiunque mi risponde.
Alfredo
PS: come mai non riesco più fare il debug... attivo il debug e non traccia niente ne in console ne nel syslog (che è debitamente configurato ed è primario nella versione 7.2)
Innanzitutto facciamo una premessa, vi ho trovato quasi per sbaglio, infatti cercavo su internet se qualcuno avvessi i miei stessi problemi, ed è venuta fuori questa comunity che è davvero interessante (ho già letto molto).
Il mio problema è il seguente.:
PIX 525 con 6 eth di cui (nell'ordine di sicurezza): inside, clientnet, dmz, failover, outside ed una non usata. Il fw è il 7.2.2 che ho installato da qualche settimana ed lì è iniziato il problema (la versione vecchia era la 6.3).
Sulla rete inside ho un AS400 che deve inviare delle mail in protocollo SMTP ad un SMTP server (outlook 2003) che risiede in outside, i quale provvede ad inoltrarle a destinatari.
Ogni mail corrisponde a una comunicazione TCP tra le due macchine (scusate se dico cose scontate), ed il problema si manifesta nel modo che sono di più le comunicazioni TCP interrotte per "duplicate ACK" o perchè c'è un alto tasso di cecksum errati, che quelle portate a termine.
Tutto ciò è stato da me monitorato con ethereal.
Se volete (e pensate che possa servire) posso postare il dump del traffico.
Ho provato a portare l'AS400 in DMZ e il problema permane, l'unico modo per far funzionare il tutto è quello di portare l'AS400 in outside, ma chiaramente ciò non può essere una soluzione definitiva.
Mi era venuto in mente anche di disabilitare il "randomize sequence" ma questo non ha portato alcun effetto positivo.
Ho altresì configurato più SMTP client, sia su linux che su windows sulla scheda inside, ed la comunicazioni con il SMTP server funziona alla grande.
Di conseguenza la mia diagnosi è che questa versione di fw del PIX non va d'accordo sull'implementazione del SMTP client dell'AS400 generando i problemi sopra esposti, cioè sconnessioni inattese ed un alto numero di cecksum errati.
C'è qualcuno che c'è già passato?
Grazie a chiunque mi risponde.
Alfredo
PS: come mai non riesco più fare il debug... attivo il debug e non traccia niente ne in console ne nel syslog (che è debitamente configurato ed è primario nella versione 7.2)
che fà questi capricci mentre tutti gli altri client SMTP funzionano perfettamente.