Jump to content

ASA Deny %ASA-2-106001


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo ASA Kenner

 

Ich habe folgendes Problem:

%ASA-2-106001: Inbound TCP connection denied from 192.168.1.100/21 to 172.1.1.100/54790 flags SYN ACK  on interface outside

 

Der Client 172.1.1.100 macht eine FTP Verbindung zu 192.168.1.100

Die Rückantwort wird dann auf der ASA gedropt und ich habe keine Ahnung warum.

 

In der Access-liste sind fogende freischaltungen für FTP

 

access-list inside line 12 extended permit tcp 172.1.1.0 255.255.255.0 host 192.168.1.100 eq ftp

 

Vor der line 12 sind keine Deny drin.

 

Ich habe auch schon folgendes versucht:

 

access-list outside line 1 extended permit ip host 192.168.1.100 host 172.1.1.100 

 

Kann mir hier jemand einen TIPP geben?

 

Besten Dank

Link zu diesem Kommentar

In der Access-liste sind fogende freischaltungen für FTP

 

access-list inside line 12 extended permit tcp 172.1.1.0 255.255.255.0 host 192.168.1.100 eq ftp

 

Vor der line 12 sind keine Deny drin.

 

Solte eigentlich reichen. Oder hast Du mit inspect irgendwas konfiguriert??

 

Ich habe auch schon folgendes versucht:

 

access-list outside line 1 extended permit ip host 192.168.1.100 host 172.1.1.100 

 

Besten Dank

 

Wenn selbst das nicht zieht - hmm.

Link zu diesem Kommentar

Hallo,

 

kannst du mal die ganze Config geben - den es sieht so aus, als wenn er keine Session für das Paket aufmacht - die Meldung sagt aus, das er ein ACK Paket bekommt - aber keinen Request vorher bekommen hat und dann das Paket verwirft. Sprich das ausgehende Paket hat keine Session aufgemacht - wo dieses Antwort Paket drauf passt.

 

Hast du mal das Logging zur completten Session ?

Link zu diesem Kommentar

Hast du mal das Logging zur completten Session ?

 

Ich habe hier ein "Show Conn"

TCP out 192.168.1.100:21 in 172.1.1.100:59276 idle 0:00:00 bytes 0 flags A

 

 

Solte eigentlich reichen. Oder hast Du mit inspect irgendwas konfiguriert??

 

Ich habe foldende Inspact drin

class-map CLASS_MAP_1
match default-inspection-traffic
!
!
policy-map type inspect dns preset_dns_map
parameters
 message-length maximum 512
policy-map POLICY_MAP_global_2
class CLASS_MAP_1
 inspect ftp
 inspect h323 ras
 inspect rtsp
 inspect skinny
 inspect sunrpc
 inspect xdmcp
 inspect sip
 inspect netbios
 inspect tftp
 inspect dns preset_dns_map
 inspect http
 inspect ils
!
service-policy POLICY_MAP_global_2 global

 

 

Ich habe auch schon mittels Wireshark das ganze aufgezeichnet.

 

Ich sehe da, dass der Client 172.1.1.100 eine anfrage startet und diese auch durch die ASA geht. Danach kommt das IP Paket von Server 192.168.1.100 zurück zur ASA und diese Antwort wird geblogt. :confused:

 

Besten Dank für euere Hilfe!

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...