Сообщения без ответов | Активные темы Текущее время: 20 янв 2018, 10:04



Ответить на тему  [ Сообщений: 7 ] 
Connection limit exceed на Asa 
Автор Сообщение

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Суть проблемы такова, что из inside (sec lev 100) в dmz (sec lev 50) не работают коннекты. И из outside (0) в DMZ также коннекты не пашут.
В логах асы мелькают ошибки 201011 - Connection limit exceeded 10/10 for outbound packet.
В настройках асы нет ограничений на коннекты. Threat detection отключен.
Asa 5520. Версию софта пробовал 7.2.5 и 8.2.2. Проблема остается.

Откуда 10 limit?

p.s. попробовал на стенде, все работает. Правда многопоточную загрузку толком не имитировал.


13 дек 2010, 17:13
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4439
Конфиг покажите плз.

Это не ошибка, а вполне законное сообщение асашки.


14 дек 2010, 07:53
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Как то так:

ASA Version 8.2(2)

hostname FW-01
enable password xxx encrypted
passwd xxx encrypted
names


dns-guard

interface GigabitEthernet0/0
no nameif
security-level 100
no ip address

interface GigabitEthernet0/1
nameif inside
security-level 100
ip address 172.17.241.3 255.255.255.224

interface GigabitEthernet0/2
nameif DMZ
security-level 50
ip address 172.17.15.1 255.255.255.0

interface GigabitEthernet0/3
nameif Outside
security-level 0
ip address 79.120.100.3 255.255.255.0

interface Management0/0
nameif Management
security-level 100
ip address 172.17.193.10 255.255.255.0
management-only

boot system disk0:/asa822-k8.bin

ftp mode passive
clock timezone MSK 3
clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00

object-group icmp-type ICMP
icmp-object time-exceeded
icmp-object echo-reply
object-group service mail tcp-udp
port-object eq 25
port-object eq domain
object-group network translated
network-object host 172.17.149.220
network-object host 172.17.146.41
network-object host 172.17.146.53
network-object host 172.17.114.240
network-object host 172.17.130.241

access-list no-nat extended permit ip 172.16.0.0 255.240.0.0 172.17.15.0 255.255.255.0

access-list proxy-server extended permit tcp host 172.17.192.253 any eq www
access-list proxy-server extended permit ip host 172.17.193.2 any
access-list proxy-server extended permit tcp host 172.17.192.29 any eq www
access-list proxy-server extended permit tcp host 172.17.192.29 any eq ftp
access-list proxy-server extended permit tcp host 172.17.197.44 any eq www
access-list proxy-server extended permit tcp host 172.17.197.44 any eq https
access-list proxy-server extended permit ip host 172.18.48.140 any
access-list proxy-server extended permit ip host 172.17.196.185 any
access-list proxy-server extended permit ip host 172.18.16.101 any
access-list proxy-server extended permit ip host 172.18.16.99 any

access-list DMZ extended permit icmp 172.17.15.0 255.255.255.0 any echo-reply
access-list DMZ extended permit tcp host 172.17.15.130 host 172.17.192.253 eq smtp
access-list DMZ extended permit udp any any eq domain
access-list DMZ extended permit tcp host 172.17.15.130 any eq smtp
access-list DMZ extended permit tcp host 172.17.15.130 any eq www
access-list DMZ extended permit tcp host 172.17.15.130 any eq 3268
access-list DMZ extended deny ip 172.17.15.0 255.255.255.0 192.168.0.0 255.255.0.0
access-list DMZ extended deny ip 172.17.15.0 255.255.255.0 172.16.0.0 255.240.0.0
access-list DMZ extended deny ip 172.17.15.0 255.255.255.0 10.0.0.0 255.0.0.0
access-list DMZ extended permit ip host 172.17.15.130 any

access-list outside_in extended permit tcp any host 79.120.100.130 eq smtp
access-list outside_in extended permit tcp any host 79.120.100.69 eq www
access-list outside_in extended permit udp any host 79.120.100.69 eq isakmp
access-list outside_in extended permit tcp any host 79.120.100.68 eq www
access-list outside_in extended permit udp any host 79.120.100.68 eq isakmp
access-list outside_in extended permit tcp any host 79.120.100.78 eq www
access-list outside_in extended permit udp any host 79.120.100.78 eq isakmp
access-list outside_in extended permit tcp any host 79.120.100.250 eq https
access-list outside_in extended permit tcp any host 79.120.100.250 eq 442
access-list outside_in extended permit tcp any host 79.120.100.111 eq telnet

pager lines 24
mtu inside 1500
mtu DMZ 1500
mtu Outside 1500
mtu Management 1500
ip verify reverse-path interface inside
ip verify reverse-path interface DMZ
ip verify reverse-path interface Outside
ip audit name IDS attack action alarm drop reset
no failover
failover polltime unit 15 holdtime 45
icmp unreachable rate-limit 1 burst-size 1
asdm image disk0:/asdm-625.bin
asdm history enable
arp timeout 14400
nat-control

global (Outside) 49 79.120.100.140
global (Outside) 29 79.120.100.152

nat (inside) 0 access-list no-nat
nat (inside) 29 access-list proxy-server dns

nat (DMZ) 49 172.17.15.130 255.255.255.255

static (DMZ,Outside) tcp 79.120.100.130 pop3 172.17.15.130 pop3 netmask 255.255.255.255 dns tcp 10 5
static (DMZ,Outside) tcp 79.120.100.130 imap4 172.17.15.130 imap4 netmask 255.255.255.255 dns tcp 10 5
static (DMZ,Outside) udp 79.120.100.99 6968 172.17.15.99 6968 netmask 255.255.255.255 dns tcp 10 5
static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns

static (inside,Outside) tcp 79.120.100.253 990 172.17.192.253 990 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 999 172.17.192.253 999 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 5721 172.17.192.253 5721 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 5678 172.17.192.253 5678 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 5679 172.17.192.253 5679 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.253 26675 172.17.192.253 26675 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.146 53789 172.17.210.126 53789 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.146 64777 172.17.210.126 64777 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.253 25863 172.17.192.253 smtp netmask 255.255.255.255 dns tcp 10 2


access-group DMZ in interface DMZ
access-group outside_in in interface Outside

route Outside 0.0.0.0 0.0.0.0 79.120.100.1 1
route inside 172.16.0.0 255.240.0.0 172.17.241.2 1

timeout xlate 3:00:00
timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02
timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00
timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00
timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute
timeout tcp-proxy-reassembly 0:01:00
dynamic-access-policy-record DfltAccessPolicy
aaa authentication ssh console LOCAL
aaa authentication telnet console LOCAL
http server enable
no snmp-server contact
snmp-server community *****
snmp-server enable traps snmp authentication linkup linkdown coldstart
snmp-server enable traps syslog
crypto ipsec security-association lifetime seconds 28800
crypto ipsec security-association lifetime kilobytes 4608000
telnet timeout 5
ssh 172.17.197.xxx 255.255.255.255 inside
ssh 172.17.197.xxx 255.255.255.255 Management
ssh timeout 5
ssh version 2
console timeout 0
management-access Management
threat-detection basic-threat
threat-detection statistics access-list
no threat-detection statistics tcp-intercept
tftp-server inside 172.17.192.104 ASA.txt
webvpn
username root password xxx

class-map inspection_default
match default-inspection-traffic


policy-map type inspect dns migrated_dns_map_1
parameters
message-length maximum client auto
message-length maximum 512
policy-map global_policy
class inspection_default
inspect dns migrated_dns_map_1
inspect ftp
inspect h323 h225
inspect h323 ras
inspect netbios
inspect rsh
inspect rtsp
inspect skinny
inspect esmtp
inspect sqlnet
inspect sunrpc
inspect tftp
inspect sip
inspect xdmcp
inspect ip-options
inspect http
inspect ils
inspect pptp
inspect icmp

service-policy global_policy global
prompt hostname context
call-home
profile CiscoTAC-1
no active
destination address http https://tools.cisco.com/its/service/odd ... DCEService
destination address email callhome@cisco.com
destination transport-method http
subscribe-to-alert-group diagnostic
subscribe-to-alert-group environment
subscribe-to-alert-group inventory periodic monthly
subscribe-to-alert-group configuration periodic monthly
subscribe-to-alert-group telemetry periodic daily


Конфиг увы не последний, и урезанный. Проблемы в связке
static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns
или
access-list DMZ extended permit ip host 172.17.15.130 any

Не могу из инсайда попасть не по smtp не по rdp на сервер. Снаружи не попадаю по smtp.

p.s. если что то слишком урезал, сорри добавлю.


14 дек 2010, 18:57
Профиль

Зарегистрирован: 20 окт 2009, 18:55
Сообщения: 962
denim писал(а):
Как то так:


static (DMZ,Outside) tcp 79.120.100.130 pop3 172.17.15.130 pop3 netmask 255.255.255.255 dns tcp 10 5
static (DMZ,Outside) tcp 79.120.100.130 imap4 172.17.15.130 imap4 netmask 255.255.255.255 dns tcp 10 5
static (DMZ,Outside) udp 79.120.100.99 6968 172.17.15.99 6968 netmask 255.255.255.255 dns tcp 10 5
static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns

static (inside,Outside) tcp 79.120.100.253 990 172.17.192.253 990 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 999 172.17.192.253 999 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 5721 172.17.192.253 5721 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 5678 172.17.192.253 5678 netmask 255.255.255.255 dns
static (inside,Outside) tcp 79.120.100.253 5679 172.17.192.253 5679 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.253 26675 172.17.192.253 26675 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.146 53789 172.17.210.126 53789 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.146 64777 172.17.210.126 64777 netmask 255.255.255.255 dns tcp 10 2
static (inside,Outside) tcp 79.120.100.253 25863 172.17.192.253 smtp netmask 255.255.255.255 dns tcp 10 2

Конфиг увы не последний, и урезанный. Проблемы в связке
static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns
или
access-list DMZ extended permit ip host 172.17.15.130 any

Не могу из инсайда попасть не по smtp не по rdp на сервер. Снаружи не попадаю по smtp.

p.s. если что то слишком урезал, сорри добавлю.


на части трансляций стоит как раз conn limit (те самые 10 и 2). на именно той, что Вам интересна - нет. Но я замечал такой глюк (на 8.2.1, кажется), что иногда эти лимиты применяются и к другим трансляциям. В итоге, настроил это в политике.


14 дек 2010, 19:06
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4439
да, на .130 хост есть трансляция по РОР3, поэтому возможен глюк с такими же лимитами. Попробуйте снять эти лимиты


15 дек 2010, 04:56
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Fedia писал(а):
да, на .130 хост есть трансляция по РОР3, поэтому возможен глюк с такими же лимитами. Попробуйте снять эти лимиты

Снимал на всех статиках для 130-го. Не помогло, думаю еще попробовать снять ограничения на всех статиках вообще.
Пробовать оперативно не могу, можно только поздно вечером.


15 дек 2010, 11:07
Профиль

Зарегистрирован: 01 янв 1970, 03:00
Сообщения: 9
Убрал лимит на 130й. Все заработало. По всей видимости, до этого все таки не везде убирал.
Полагаю это все же баг, когда есть лимит на одной записи, то он применяется ко всем сессиям с адресом источника.

Тему можно переносить в решенные. Сенкс!


15 дек 2010, 23:51
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 7 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB