Jump to content

PIX fehler / SYN Timeout

staga

Von staga
in Cisco Forum — Allgemein

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

staga Proficient

staga   10

Geschrieben
Geschrieben

Hallo Leute

 

Ich hoffe das mir hier jemand helfen kann. Also ich bin (of course) ein Newbi in Sachen PIX Firewall. Folgendes Problem:

 

Von Outside möchte ein Kunde via DMZ auf einen Unix Server im Lan zugreifen. Habe folgendes gemacht.

 

- dem Unix Server eine DMZ Adresse gegeben auf die der Kunde von outside zugreift und die entsprechenden ports freigeschaltet.

 

Nun so weit funktioniert das auch (meiner Meinung nach) wenn ich aber mein log-file anschaue dann bekomme ich folgendes:

 

 

2006-03-23 11:42:17 Local4.Info 196.160.21.5 %PIX-6-302013: Built inbound TCP connection 720 for dmz:10.40.100.50/3415 (10.40.100.50/3415) to inside:196.160.21.100/23 (10.1.21.200/23)

 

2006-03-23 11:39:50 Local4.Info 196.160.21.5 %PIX-6-302014: Teardown TCP connection 719 for dmz:10.40.100.50/3407 to inside:196.160.21.100/23 duration 0:02:01 bytes 0 SYN Timeout

 

Per Internet hab ich rausgefunden das der Fehler (0 SYN Timeout) folgender ist:

 

-Force termination after two minutes awaiting three-way handshake completion.

 

What thee hell.....Ich habe keinen schimmer :confused: was ich mit dieser Antwort anfangen soll.

Bitte helft mir.

 

Gruss

staga

rob_67 Mentor

rob_67   10

Geschrieben
Geschrieben

Hi,

 

du versuchst von aussen eine tcp TELNET verbindung mittels syn paket zu initiieren, aber aus dem internen netz von deinem server kommt keine antwort, möglicherweise weil da eine route fehlt?

 

 

gruss

 

 

rob

markber Explorer

markber   10

Geschrieben
Geschrieben

Hi,

 

Noch mal zum Verständnis, ein Kunde kommt vom Internet auf einen Host in der DM.. von dort soll eine Telent-Session ins interne LAN gestartet werden...?

 

Wenn ja... brauchst du einen static Eintrag...

 

static (inside,dmz) ip ip netmask 255.255.255.255 0 0

 

von einem Interface, das einen höheren Sicherheitslevel hat (outside), muss ein static Eintrag zum interne Host gesetzt werden.... man sollte auch NAT beachten...

 

Das Routing auf dem Host im internen LAN muss natürlich auch stimmen...Weiter muss eine Access-liste konfiguriert werden...

Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren

Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können

Benutzerkonto erstellen

Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!

Neues Benutzerkonto erstellen

Anmelden

Du hast bereits ein Benutzerkonto? Melde dich hier an.

Jetzt anmelden
Zurück zur Übersicht


×
×
  • Neu erstellen...