Firewall bloque TCP:*A

SuniX · Jan 21, 2012, 12:38 PM

Bonjour,

Je me pose une question depuis un petit moment.
Effectivement, en allant voir dans les logs de Firewall, je constate des paquets qui sont bloqués.
Ce qui implique des statistiques fausses, mais surtout mon incompréhension fasse à ces erreurs.

J'ai regardé sur le site, et je me retrouve avec 2 URL qui semblent être le même soucis :

Si j'ai bien suivi, il s'agirait en fait de paquet SYN ACK qui sont forgés, mais je ne vois pas trop le pourquoi du comment.
Pour les adresses qui sont indiqués (cf. capture jointe), il s'agit :

2.20.242.155:443 : www.espaceclient.bouyguestelecom.fr
2.20.237.205:443 : *.me.com
2.20.176.224:443 : configuration.apple.com
127.0.0.1:3128 : pfSense SQUID

Comme nous pouvons le voir, il s'agit en majeur partie de soucis avec la plateforme Akamai, mais également parfois avec le SQUID présent sur la machine.

Y'a t'il un moyen d'éviter d'avoir ce type de log, ou encore mieux est-il possible de modifier la configuration afin de corriger ce type d'erreur ?

Merci d'avance de votre retour :)

ccnet · Jan 23, 2012, 10:45 AM

Ne seriez vous pas en multiwan ? Dans ce cas il faudrait s'assurer du routage.

SuniX · Jan 23, 2012, 11:27 AM

Bonjour,

Je suis effectivement avec deux connexions Internet, mais il n'y a pas de failover ou partage de connexion automatique.
J'ai une passerelle par défaut 'GW_Completel (default)' puis une seconde passerelle 'GW_Freebox' qui est certes configuré, mais non utilisé.
J'ai également créé un groupe de routage 'MultiWAN' avec 'GW_Completel' en Tier 1 et 'GW_Freebox' en Tier 3, mais il n'est pas utilisé non plus.

Maintenant, pour les connexions du LAN vers le WAN, étant donné qu'il n'y a pas de passerelle d'indiqué (*), il me semblait que cela prenait d'office la passerelle par défaut non ?
J'ai ajouté en PJ un screen de ma config LAN actuelle.

Concernant les logs, je ne constate pas de nouvelle entrée depuis le 20/01/2012 19Hrs39min.
Pourtant les erreurs étaient présentes tous les jours …
Je vais attendre 2 ou 3 jours avant de revenir poster, histoire d'être sûr que cela ne se reproduit plus :)

Maintenant, si je comprend ce que vous m'indiquez, cela viendrait peut-être du fait que certains paquets passent via une passerelle, et d'autres via la seconde passerelle ?
Je peux tenter en débranchant le câble de la connexion Freebox, étant donné qu'elle ne me sert que le WE pour effectuer des opérations de maintenance.

Merci de votre aide :)

ccnet · Jan 23, 2012, 12:07 PM

Maintenant, si je comprend ce que vous m'indiquez, cela viendrait peut-être du fait que certains paquets passent via une passerelle, et d'autres via la seconde passerelle ?

Plus précisément le problème viendrait du fait que le Syn passe sur une des passerelles et le Syn-Ack sur l'autre. Et on se retrouve avec paquet marué Syn-Ack pour lequel le syn correspondant ne peut être trouvé.