mtf 10 Geschrieben 4. März 2008 Melden Teilen Geschrieben 4. März 2008 Hallo ASA Kenner Ich habe folgendes Problem: %ASA-2-106001: Inbound TCP connection denied from 192.168.1.100/21 to 172.1.1.100/54790 flags SYN ACK on interface outside Der Client 172.1.1.100 macht eine FTP Verbindung zu 192.168.1.100 Die Rückantwort wird dann auf der ASA gedropt und ich habe keine Ahnung warum. In der Access-liste sind fogende freischaltungen für FTP access-list inside line 12 extended permit tcp 172.1.1.0 255.255.255.0 host 192.168.1.100 eq ftp Vor der line 12 sind keine Deny drin. Ich habe auch schon folgendes versucht: access-list outside line 1 extended permit ip host 192.168.1.100 host 172.1.1.100 Kann mir hier jemand einen TIPP geben? Besten Dank Zitieren Link zu diesem Kommentar
hegl 10 Geschrieben 4. März 2008 Melden Teilen Geschrieben 4. März 2008 In der Access-liste sind fogende freischaltungen für FTP access-list inside line 12 extended permit tcp 172.1.1.0 255.255.255.0 host 192.168.1.100 eq ftp Vor der line 12 sind keine Deny drin. Solte eigentlich reichen. Oder hast Du mit inspect irgendwas konfiguriert?? Ich habe auch schon folgendes versucht: access-list outside line 1 extended permit ip host 192.168.1.100 host 172.1.1.100 Besten Dank Wenn selbst das nicht zieht - hmm. Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 4. März 2008 Melden Teilen Geschrieben 4. März 2008 Hallo, kannst du mal die ganze Config geben - den es sieht so aus, als wenn er keine Session für das Paket aufmacht - die Meldung sagt aus, das er ein ACK Paket bekommt - aber keinen Request vorher bekommen hat und dann das Paket verwirft. Sprich das ausgehende Paket hat keine Session aufgemacht - wo dieses Antwort Paket drauf passt. Hast du mal das Logging zur completten Session ? Zitieren Link zu diesem Kommentar
mtf 10 Geschrieben 5. März 2008 Autor Melden Teilen Geschrieben 5. März 2008 Hast du mal das Logging zur completten Session ? Ich habe hier ein "Show Conn" TCP out 192.168.1.100:21 in 172.1.1.100:59276 idle 0:00:00 bytes 0 flags A Solte eigentlich reichen. Oder hast Du mit inspect irgendwas konfiguriert?? Ich habe foldende Inspact drin class-map CLASS_MAP_1 match default-inspection-traffic ! ! policy-map type inspect dns preset_dns_map parameters message-length maximum 512 policy-map POLICY_MAP_global_2 class CLASS_MAP_1 inspect ftp inspect h323 ras inspect rtsp inspect skinny inspect sunrpc inspect xdmcp inspect sip inspect netbios inspect tftp inspect dns preset_dns_map inspect http inspect ils ! service-policy POLICY_MAP_global_2 global Ich habe auch schon mittels Wireshark das ganze aufgezeichnet. Ich sehe da, dass der Client 172.1.1.100 eine anfrage startet und diese auch durch die ASA geht. Danach kommt das IP Paket von Server 192.168.1.100 zurück zur ASA und diese Antwort wird geblogt. :confused: Besten Dank für euere Hilfe! Zitieren Link zu diesem Kommentar
blackbox 10 Geschrieben 5. März 2008 Melden Teilen Geschrieben 5. März 2008 Hallo, ja weil er nicht weiss das das erste Paket rausgegangen ist - da ist in der Config noch nen Fehler drin - dafür müsste ich die aber mal komplett sehen - so aus den Zeilen wird man nicht schlau. Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.