MYOEY 10 Geschrieben 14. August 2007 Melden Teilen Geschrieben 14. August 2007 Hallo, aus dem Syslog(PIX) sind die beiden Zeilen einer Kommunikation zwischen 192.168.131.237 und x.x.x.34 Die Verbindung wird von der Outside(x.x.x.34) iniziirt und bricht immer wieder in unregelmässigen Abständen ab! 2007-08-14 18:39:25 Local4.Info 192.168.135.3 %PIX-6-302013: Built inbound TCP connection 8638521 for outside1:x.x.x.34/28932 (x.x.x.34/28932) to inside:192.168.131.237/554 (y.y.y.y/554) 2007-08-14 18:39:35 Local4.Info 192.168.135.3 %PIX-6-302014: Teardown TCP connection 8638521 for outside1:x.x.x.34/28932 to inside:192.168.131.237/554 duration 0:00:10 bytes 259 TCP FINs wie kann man erkennen ob die Verbindung von innen oder von außen abgebrochen wird? Kann man das anhand der Syslogzeilen irgendwie erkennen? Danke! Gruß Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 16. August 2007 Autor Melden Teilen Geschrieben 16. August 2007 Keine Idee oder Tipp??? Zitieren Link zu diesem Kommentar
Jim di Griz 13 Geschrieben 16. August 2007 Melden Teilen Geschrieben 16. August 2007 # QuickTime 4 Client & RealAudio on Port 554 "QuickTime" 554 6970-32000 der port scheint zu quicktime zu gehoeren. unklar ist, was aussen heisst, ein zweites subnetz oder das grosse weite inet. also versucht möglicherweise irgendetwas quicktime 4 auf deiner kiste zu erreichen, evtl nen dienst zum autoupdaten aktiv? laut http://www.iana.org/assignments/port-numbers ist der ausgangsport nicht vergeben, aber die liste kann alt oder schlecht sein, muss ja eh nicht der tatsächliche sourceport sein (NAT oder was auch immer) Zitieren Link zu diesem Kommentar
MYOEY 10 Geschrieben 18. August 2007 Autor Melden Teilen Geschrieben 18. August 2007 ja der Client 192.168.131.237 streamt und der host x.x.x.34 greift diesen Stream übers Internet ab! und die Verbindung bricht immer wieder ab! Mir gehts nur darum festzustellen, von wo aus die connection abgebaut wird! Aber die Frage ist ob man Anhand der beiden Syslogzeilen der PIX erkennen könnte, von welche Seite die Verbindung abgebaut wird? oder wie kann ich das am besten überwachen bzw. feststellen? Gruß Zitieren Link zu diesem Kommentar
mturba 10 Geschrieben 18. August 2007 Melden Teilen Geschrieben 18. August 2007 Hmm, erinnert mich an diesen Thread: http://www.mcseboard.de/cisco-forum-allgemein-38/syslog-meldung-105034.html Leider ist in diesem Fall nicht eindeutig aus der Cisco-Dokumentation zu erkennen, ob der Verbindungsabbau von innen oder außen initiiert wurde. Als Grund für die Trennung ist nur angegeben: TCP FINs: Normal close down sequence. (Cisco Security Appliance System Log Messages, Version 7.2 - System Log Messages [Cisco ASA 5500 Series Adaptive Security Appliances] - Cisco Systems) Da die Verbindung ja sehr schnell wieder abgebaut wird, kannst du aber sicherlich mit Wireshark feststellen, wer von beiden Seiten zuerst das FIN-Flag setzt. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.