Jump to content
Sign in to follow this  
mtf

ASA Deny %ASA-2-106001

Recommended Posts

Hallo ASA Kenner

 

Ich habe folgendes Problem:

%ASA-2-106001: Inbound TCP connection denied from 192.168.1.100/21 to 172.1.1.100/54790 flags SYN ACK  on interface outside

 

Der Client 172.1.1.100 macht eine FTP Verbindung zu 192.168.1.100

Die Rückantwort wird dann auf der ASA gedropt und ich habe keine Ahnung warum.

 

In der Access-liste sind fogende freischaltungen für FTP

 

access-list inside line 12 extended permit tcp 172.1.1.0 255.255.255.0 host 192.168.1.100 eq ftp

 

Vor der line 12 sind keine Deny drin.

 

Ich habe auch schon folgendes versucht:

 

access-list outside line 1 extended permit ip host 192.168.1.100 host 172.1.1.100 

 

Kann mir hier jemand einen TIPP geben?

 

Besten Dank

Share this post


Link to post
Share on other sites

In der Access-liste sind fogende freischaltungen für FTP

 

access-list inside line 12 extended permit tcp 172.1.1.0 255.255.255.0 host 192.168.1.100 eq ftp

 

Vor der line 12 sind keine Deny drin.

 

Solte eigentlich reichen. Oder hast Du mit inspect irgendwas konfiguriert??

 

Ich habe auch schon folgendes versucht:

 

access-list outside line 1 extended permit ip host 192.168.1.100 host 172.1.1.100 

 

Besten Dank

 

Wenn selbst das nicht zieht - hmm.

Share this post


Link to post
Share on other sites

Hallo,

 

kannst du mal die ganze Config geben - den es sieht so aus, als wenn er keine Session für das Paket aufmacht - die Meldung sagt aus, das er ein ACK Paket bekommt - aber keinen Request vorher bekommen hat und dann das Paket verwirft. Sprich das ausgehende Paket hat keine Session aufgemacht - wo dieses Antwort Paket drauf passt.

 

Hast du mal das Logging zur completten Session ?

Share this post


Link to post
Share on other sites

Hast du mal das Logging zur completten Session ?

 

Ich habe hier ein "Show Conn"

TCP out 192.168.1.100:21 in 172.1.1.100:59276 idle 0:00:00 bytes 0 flags A

 

 

Solte eigentlich reichen. Oder hast Du mit inspect irgendwas konfiguriert??

 

Ich habe foldende Inspact drin

class-map CLASS_MAP_1
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map POLICY_MAP_global_2
class CLASS_MAP_1
 inspect ftp
 inspect h323 ras
 inspect rtsp
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
 inspect dns preset_dns_map
 inspect http
 inspect ils
!
service-policy POLICY_MAP_global_2 global

 

 

Ich habe auch schon mittels Wireshark das ganze aufgezeichnet.

 

Ich sehe da, dass der Client 172.1.1.100 eine anfrage startet und diese auch durch die ASA geht. Danach kommt das IP Paket von Server 192.168.1.100 zurück zur ASA und diese Antwort wird geblogt. :confused:

 

Besten Dank für euere Hilfe!

Share this post


Link to post
Share on other sites

Hallo,

 

ja weil er nicht weiss das das erste Paket rausgegangen ist - da ist in der Config noch nen Fehler drin - dafür müsste ich die aber mal komplett sehen - so aus den Zeilen wird man nicht schlau.

Share this post


Link to post
Share on other sites
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte überlege Dir, ob es nicht sinnvoller ist ein neues Thema zu erstellen.

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Restore formatting

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Sign in to follow this  

Werbepartner:



×
×
  • Create New...