Сообщения для этой группы выводятся непосредственно перед уничтожением или отправкой пакета.
Формат сообщения (в порядке следования):
· входящий или выходящий пакет
· IP-адрес источника
· порт источника
· IP-адрес получателя
· порт получателя
· номер IP-протокола
· длина IP-пакета
· логическое имя интерфейса или код интерфейса, если имя неизвестно
· действие "passed" или "dropped"
· строка, описывающая причину уничтожения или отправки пакета.
По возможности выводится дополнительная информация, например, имя правила фильтрации и идентификатор SA.
Примеры сообщений группы pass
Пакет обработан по правилу фильтрации с действием PASS:
in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: filtered
Пакет был обработан по IPsec-правилу:
passed in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: decapsulated
passed out packet 2.3.4.5:12->3.4.3.3:14, proto 50, len 140, if eth0: encapsulated
Открытый пакет был пропущен по правилу с действием IPsec+PASS:
in packet 2.3.4.5:12->3.4.3.3:14, proto 6, if eth0, passed: filter flt_cba: IPsec rule, but the packet was not decapsulated
Пакет был отправлен в IP-стек для маршрутизации:
passed out packet 2.3.4.5:12->3.4.3.3:14, proto 50, len 140, if eth0: re-routed
Пакет был пропущен в соответствии с конфигурацией драйвера по-умолчанию (пользовательская конфигурация не загружена):
passed out packet 2.3.4.5:12->3.4.3.3:14, proto 50, len 140, if eth0: driver default policy
Примеры сообщений группы drop
Сообщения, связанные с некорректными данными заголовков пакета:
IP-заголовок испорчен:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: corrupted IP header
TCP/UDP заголовок испорчен:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: corrupted protocol headers
Следующее сообщение аналогично "corrupted protocol headers", выводится после сборки (реассемблирования) IP-пакета:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: corrupted protocol headers after reassembly
Испорченные заголовки после раскрытия IPsec, это может быть также связано с использованием неверного ключа для расшифровки при отсутствии проверки целостности:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: SA 33: corrupted protocol headers after decapsulation
Испорчен ESP или AH заголовок:
dropped in packet 2.3.4.5->3.4.3.3, proto 50, len 140, if eth0: unable to fetch SPI
Превышено ограничение по количеству вложений IPseс, раскрываемых на одном хосте (допускается не более 16 вложений):
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 50, len 140, if eth0: too many nested encapsulations
Превышено ограничение по количеству вложений IPseс, применяемых на одном хосте (допускается не более 16 вложений), предположительно конфигурация написана таким образом, что пакет зациклился:
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 50, len 140, if eth0: too many nested encapsulations (recursive policy?)
Сообщения о подпадании пакета под правило с действием DROP:
Пакет уничтожен на этапе фильтрации.
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: firewall
Пакет уничтожен на этапе проверки IPsec-фильтров.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: IPsec policy
Пакет уничтожен на этапе проверки фильтров, связанных с IPsec-правилом.
dropped in packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: SA filter
Пакет уничтожен на этапе классификации.
dropped in packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: classification
Сообщения, связанные с несоответствием входящего пакета локальной конфигурации IPsec. Появление подобных сообщений может быть вызвано двумя причинами:
· несогласованные конфигурации[8] партнеров по IKE/IPsec соединению
· попытка атаки на защищенную сеть.
Пакет был закрыт с помощью IPsec, но подпадает под правило PASS:
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: filter 12: IPsec packet is not expected
Открытый пакет подпадает под правило фильтрации c IPsec-действием:
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: filter 12: packet must be protected with IPsec
При вложенной IPsec-инкапсуляции входящий пакет имеет недостаточное количество слоев IPsec-защиты:
dropped in packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: packet lacks required IPsec layer
Туннельный (внешний) заголовок не соответствует параметрам SA.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: tunnel header doesn't match SA 24
Пакет пришел не с того сетевого интерфейса.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: SA 18 is bound to filter which doesn't match current vif
Маловероятная ошибка, может произойти в процессе удаления SA в момент обработки пакета.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: SA 3 is not in a bundle
При вложенном IPsec пакет порядок применения слоев IPsec некорректный.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: SA 3 is not the first SA in a bundle
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: SPI 0xfa849e11 is not found in SA bundle
После декапсуляции заголовок пакета не соответствует селектору SA.
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: SA 33: decapsulated packet's IP header doesn't match the SA
Неизвестный SPI (IPsec SA не найден).
dropped in packet 2.3.4.5->3.4.3.3, proto 50, len 140, if eth0: SPI 0xabababab not found in hash
SA не привязан к IPsec-фильтру, под который подпадает пакет.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: filter 12: IPsec SA doesn't match
Для исходящего пакета, попадающего на IPsec-фильтр не создан SA bundle, при этом автоматическое создание SA для данного фильтра запрещено (fallback_action = DROP).
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: filter 12: SA bundle not found
Ошибки IPsec:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 50, len 140, if eth0: SA 33: decapsulation error 5: integrity verification failed
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: SA 33: encapsulation error 4: sequence number wrapped
Возможные ошибки представлены в Таблица 3.
Таблица 3
|
Код |
Название |
Описание проблемы |
|
1 |
replay packet detected |
обнаружен повторный пакет |
|
2 |
call to crypto subsystem failed |
ошибка крипто-подсистемы |
|
3 |
last sequence number |
последний номер пакета |
|
4 |
sequence number wrapped |
переполнение счетчика пакетов |
|
5 |
integrity verification failed |
проверка целостности не прошла |
|
6 |
corrupted protocol headers |
испорченный протокольный заголовок |
|
7 |
corrupted headers after decapsulation |
испорченный протокольный заголовок после декапсуляции |
|
8 |
memory allocation failed |
невозможно выделить память |
|
9 |
IP ttl expired |
счетчик IP ttl истек |
|
10 |
buffer is too small[9] |
буфер слишком мал |
|
11 |
can't parse IP options |
невозможно разобрать опции IP |
|
12 |
padding check failed |
ошибка в заполнителе |
|
13 |
incorrect SA configuration[10] |
неправильная конфигурация SA |
|
14 |
wrong encapsulation mode for the SA |
несоответствующий SA режим инкапсуляции (транспорт или туннель) |
|
15 |
packet length exceeds 64K-1 |
длина пакета превышает максимально допустимую |
|
16 |
TFC packet |
TFC пакет |
|
17 |
traffic limit exceeded |
превышение ограничения по трафику |
|
18 |
wrong tunnel source address |
несоответствующий SA адрес источника в туннельном заголовке |
Промежуточное состояние при IPsec-rekeying (процесс rekeying (смена ключевого материала) не успел завершиться вовремя):
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: SA 18 is unusable
Очередь пакетов, ожидающая создания IPsec SA bundle переполнена (размер очереди задается в LSP, по умолчанию 8):
dropped out packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: filter 12: reached limit of 8 packets waiting for SA
В случае, если произойдет ошибка при построении SA bundle, для ожидающих пакетов будет выдано:
dropped out packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: filter 12: failed to build SA bundle
Превышено общее количество одновременно выполняющихся запросов[11] на создание SA (размер очереди задается в drv_mgr, по умолчанию 1000):
dropped out packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: reached limit of 1000 SA requests
Превышено количество одновременно выполняющихся запросов[12] на создание SA по одному фильтру (размер очереди задается в LSP, по умолчанию 8):
dropped out packet 10.12.33.4->11.8.3.4, proto 1, len 80, if eth0: reached limit of 8 SA requests for filter 12
Следующее сообщение говорит о слишком большом количестве пакетов на обработку одним SA (более 40). Скорее всего, это означает неоптимальные настройки Продукта с точки зрения производительности. Просьба обращаться к разработчикам:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: SA 33: queue overflow
Пакет после обработки IPsec может превысить максимальную длину IP. То есть к такому пакету IPsec не применим:
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 65530, if eth0: packet is too large for IPsec, length after encapsulation 65550
Внутренние ошибки, о которых просьба сообщать разработчикам:
dropped in packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: ip data is not 4-byte aligned
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: unknown network interface
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: unknown physical network interface
Пришел пакет ICMP destination unreachable/fragmentation needed, который обработан драйвером и далее не пропущен.
dropped in packet 2.3.4.5->3.4.3.3, proto 1, len 80, if eth0: ICMP PMTUD message processed
Следующие сообщения связаны с тем, что драйвер находится в режиме конфигурирования, и прохождение пакетов заблокировано.
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: driver is being configured
Следующее означает, что с момента начала обработки пакета, конфигурация драйвера изменилась, и нельзя гарантировать правильность обработки данного пакета.
dropped out packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: packet config id 11 don't match current id 12
IPsec-фильтр был уничтожен в процессе обработки пакета.
dropped out packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: IPsec filter 13 is dead
Сообщения о нехватке ресурсов.
dropped out packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: filter 12: failed to send SA request: out of memory
dropped in packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: can't allocate packet buffer
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: can't prepare SA list: out of memory
Исходящие пакеты, отправляемые с виртуального сетевого интерфейса, обязательно должны быть отправлены с использованием туннельного режима IPsec и адрес туннельного заголовка должен отличаться от изначального.
dropped out packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: IP destination have not been changed for a packet which had come from IKEcfg virtual interface
Исходящие пакеты, отправляемые с виртуального сетевого интерфейса, обязательно должны в качестве адреса источника иметь адрес этого виртуального интерфейса.
dropped out packet 10.12.33.4->11.8.3.4, proto 50, len 80, if eth0: IP source address is not an address of IKEcfg virtual interface
Пакет превышает MTU и не может быть фрагментирован из-за выставленного DF bit.
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: DF bit set, can't fragment packet, path MTU 1500
Ошибка при попытке фрагментировать пакет.
dropped out packet 2.3.4.5:12->3.4.3.3:14, proto 6, len 140, if eth0: can't fragment packet, path MTU 1500