События группы fw_tcperr
Вывод сообщений данной группы зависит от конфигурации (LSP). Для правила фильтрации, с которым связано событие, должно быть включено протокорирование. Если включена группа fw_tcpst, то сообщения выводятся независимо от LSP.
Примеры сообщений:
half open session count and creation rate are ok, stopped deleting connections: count 2 (< 10), 1-minute rate 9 (< 10)
half open sessions limit triggered by 1.1.1.2:23->1.1.1.3:1045, starting to delete connections: count/max 22/33, 1-minute rate/max 42/42
sessions limit triggered by 1.1.1.2:23->1.1.1.3:1045, dropping packet: session count/max 4000/4000
blocked attempt to initiate FTP passive-mode data connection 0x%#5x (%#1,a:%,2u->%,a:%,2u) from server side
blocked attempt to initiate FTP data connection 0x%#5x (%#1,a:%,2u->%,a:%,2u) from client side
blocked FTP PASV response for 0x%#5x (%#1,a:%,2u->%,a:%,2u): user not authenticated
blocked attempt to use priveleged port %#6d in FTP PASV response for 0x%#5x (%#1,a:%,2u->%,a:%,2u)
blocked FTP PORT command for 0x%#5x (%#1,a:%,2u->%,a:%,2u): user not authenticated
blocked attempt to use priveleged port %#6d in FTP PORT command for 0x%#5x (%#1,a:%,2u->%,a:%,2u
Дополнительные сообщения от stateful firewall:
TCP sequence number не попадает в TCP window (см. описание TCPStrictnessLevel в LSP). Сообщение может быть связано как с намеренным искажением TCP заголовка так и с ограниченными возможностями по отслеживанию соединений в firewall.
unexpected TCP sequence number for 0xfafabebe, dropping packet: seq 1040, flags 0x10, expected seq (ack) 4050, win 1024
TCP флаги не соответствуют состоянию соединения (см. описание TCPStrictnessLevel в LSP). Сообщение может быть связано как с намеренным искажением TCP заголовка так и с ограниченными возможностями по отслеживанию соединений в firewall.
unexpected TCP flags for 0xfafabebe, dropping packet: disallowed state change ESTAB->SYNSENT/ESTAB->ESTAB, TCP flags 0x2
Смена состояния TCP-соединения. ttl – время, через которое запись о соединении удалится при отсутствии активности. Время отслеживается для каждого из партнеров отдельно, но запись будет удалена по истечении любого из таймаутов. Состояния отображаются как старое->новое.
session state changed for 0xfafabebe: state ESTAB->ESTAB/SYNRCVD->ESTAB, ttl 100/100, TCP flags 0x10
В соответствии с LSP запрещено открытие TCP-стейтов, для соединений, которые открылись раньше сброса конфигурации firewall (см. описание TCPStrictnessLevel в LSP).
not a SYN packet, won't create state for session 10.1.1.1:22->10.2.2.2:3532, parent filter 8: TCP flags 0x10
Открытие новой записи о TCP соединении.
new session 0xbebebebe/0xabababab (1.2.3.4 1.2.3.4:32 32->2.3.4.1 2.3.4.1:33 33): parent filter 18, state SYNSENT/CLOSED, TCP flags 0x2)
Невозможно создать новую запись о соединении из-за ограничений на количество установившихся (established) соединений. Неустановившихся соединений для удаления нет.
can't delete any old half open session in favor of new session 1.2.3.4 1.2.3.4:32 32->2.3.4.1 2.3.4.1:33 33, dropping packet: half open session count 0
События группы fw_tcpstat
Для правила фильтрации, с которым связано событие, должно быть включено протокорирование. , то сообщения выводятся независимо от LSP.
Пример сообщения:
session 0x12345678x/0x12346678 (1.1.1.2:23->1.1.1.3:1045) closed: state CLOSED/CLOSED, transferred 200/100 bytes, 10/15 packets