Anticisco https://anticisco.ru/forum/ |
|
Connection limit exceed на Asa https://anticisco.ru/forum/viewtopic.php?f=8&t=1277 |
Страница 1 из 1 |
Автор: | 921 [ 13 дек 2010, 17:13 ] |
Заголовок сообщения: | Connection limit exceed на Asa |
Суть проблемы такова, что из inside (sec lev 100) в dmz (sec lev 50) не работают коннекты. И из outside (0) в DMZ также коннекты не пашут. В логах асы мелькают ошибки 201011 - Connection limit exceeded 10/10 for outbound packet. В настройках асы нет ограничений на коннекты. Threat detection отключен. Asa 5520. Версию софта пробовал 7.2.5 и 8.2.2. Проблема остается. Откуда 10 limit? p.s. попробовал на стенде, все работает. Правда многопоточную загрузку толком не имитировал. |
Автор: | Fedia [ 14 дек 2010, 07:53 ] |
Заголовок сообщения: | Re: Connection limit exceed на Asa |
Конфиг покажите плз. Это не ошибка, а вполне законное сообщение асашки. |
Автор: | 921 [ 14 дек 2010, 18:57 ] |
Заголовок сообщения: | Re: Connection limit exceed на Asa |
Как то так: ASA Version 8.2(2) hostname FW-01 enable password xxx encrypted passwd xxx encrypted names dns-guard interface GigabitEthernet0/0 no nameif security-level 100 no ip address interface GigabitEthernet0/1 nameif inside security-level 100 ip address 172.17.241.3 255.255.255.224 interface GigabitEthernet0/2 nameif DMZ security-level 50 ip address 172.17.15.1 255.255.255.0 interface GigabitEthernet0/3 nameif Outside security-level 0 ip address 79.120.100.3 255.255.255.0 interface Management0/0 nameif Management security-level 100 ip address 172.17.193.10 255.255.255.0 management-only boot system disk0:/asa822-k8.bin ftp mode passive clock timezone MSK 3 clock summer-time MSK recurring last Sun Mar 2:00 last Sun Oct 2:00 object-group icmp-type ICMP icmp-object time-exceeded icmp-object echo-reply object-group service mail tcp-udp port-object eq 25 port-object eq domain object-group network translated network-object host 172.17.149.220 network-object host 172.17.146.41 network-object host 172.17.146.53 network-object host 172.17.114.240 network-object host 172.17.130.241 access-list no-nat extended permit ip 172.16.0.0 255.240.0.0 172.17.15.0 255.255.255.0 access-list proxy-server extended permit tcp host 172.17.192.253 any eq www access-list proxy-server extended permit ip host 172.17.193.2 any access-list proxy-server extended permit tcp host 172.17.192.29 any eq www access-list proxy-server extended permit tcp host 172.17.192.29 any eq ftp access-list proxy-server extended permit tcp host 172.17.197.44 any eq www access-list proxy-server extended permit tcp host 172.17.197.44 any eq https access-list proxy-server extended permit ip host 172.18.48.140 any access-list proxy-server extended permit ip host 172.17.196.185 any access-list proxy-server extended permit ip host 172.18.16.101 any access-list proxy-server extended permit ip host 172.18.16.99 any access-list DMZ extended permit icmp 172.17.15.0 255.255.255.0 any echo-reply access-list DMZ extended permit tcp host 172.17.15.130 host 172.17.192.253 eq smtp access-list DMZ extended permit udp any any eq domain access-list DMZ extended permit tcp host 172.17.15.130 any eq smtp access-list DMZ extended permit tcp host 172.17.15.130 any eq www access-list DMZ extended permit tcp host 172.17.15.130 any eq 3268 access-list DMZ extended deny ip 172.17.15.0 255.255.255.0 192.168.0.0 255.255.0.0 access-list DMZ extended deny ip 172.17.15.0 255.255.255.0 172.16.0.0 255.240.0.0 access-list DMZ extended deny ip 172.17.15.0 255.255.255.0 10.0.0.0 255.0.0.0 access-list DMZ extended permit ip host 172.17.15.130 any access-list outside_in extended permit tcp any host 79.120.100.130 eq smtp access-list outside_in extended permit tcp any host 79.120.100.69 eq www access-list outside_in extended permit udp any host 79.120.100.69 eq isakmp access-list outside_in extended permit tcp any host 79.120.100.68 eq www access-list outside_in extended permit udp any host 79.120.100.68 eq isakmp access-list outside_in extended permit tcp any host 79.120.100.78 eq www access-list outside_in extended permit udp any host 79.120.100.78 eq isakmp access-list outside_in extended permit tcp any host 79.120.100.250 eq https access-list outside_in extended permit tcp any host 79.120.100.250 eq 442 access-list outside_in extended permit tcp any host 79.120.100.111 eq telnet pager lines 24 mtu inside 1500 mtu DMZ 1500 mtu Outside 1500 mtu Management 1500 ip verify reverse-path interface inside ip verify reverse-path interface DMZ ip verify reverse-path interface Outside ip audit name IDS attack action alarm drop reset no failover failover polltime unit 15 holdtime 45 icmp unreachable rate-limit 1 burst-size 1 asdm image disk0:/asdm-625.bin asdm history enable arp timeout 14400 nat-control global (Outside) 49 79.120.100.140 global (Outside) 29 79.120.100.152 nat (inside) 0 access-list no-nat nat (inside) 29 access-list proxy-server dns nat (DMZ) 49 172.17.15.130 255.255.255.255 static (DMZ,Outside) tcp 79.120.100.130 pop3 172.17.15.130 pop3 netmask 255.255.255.255 dns tcp 10 5 static (DMZ,Outside) tcp 79.120.100.130 imap4 172.17.15.130 imap4 netmask 255.255.255.255 dns tcp 10 5 static (DMZ,Outside) udp 79.120.100.99 6968 172.17.15.99 6968 netmask 255.255.255.255 dns tcp 10 5 static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 990 172.17.192.253 990 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 999 172.17.192.253 999 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 5721 172.17.192.253 5721 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 5678 172.17.192.253 5678 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 5679 172.17.192.253 5679 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.253 26675 172.17.192.253 26675 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.146 53789 172.17.210.126 53789 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.146 64777 172.17.210.126 64777 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.253 25863 172.17.192.253 smtp netmask 255.255.255.255 dns tcp 10 2 access-group DMZ in interface DMZ access-group outside_in in interface Outside route Outside 0.0.0.0 0.0.0.0 79.120.100.1 1 route inside 172.16.0.0 255.240.0.0 172.17.241.2 1 timeout xlate 3:00:00 timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02 timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00 mgcp-pat 0:05:00 timeout sip 0:30:00 sip_media 0:02:00 sip-invite 0:03:00 sip-disconnect 0:02:00 timeout sip-provisional-media 0:02:00 uauth 0:05:00 absolute timeout tcp-proxy-reassembly 0:01:00 dynamic-access-policy-record DfltAccessPolicy aaa authentication ssh console LOCAL aaa authentication telnet console LOCAL http server enable no snmp-server contact snmp-server community ***** snmp-server enable traps snmp authentication linkup linkdown coldstart snmp-server enable traps syslog crypto ipsec security-association lifetime seconds 28800 crypto ipsec security-association lifetime kilobytes 4608000 telnet timeout 5 ssh 172.17.197.xxx 255.255.255.255 inside ssh 172.17.197.xxx 255.255.255.255 Management ssh timeout 5 ssh version 2 console timeout 0 management-access Management threat-detection basic-threat threat-detection statistics access-list no threat-detection statistics tcp-intercept tftp-server inside 172.17.192.104 ASA.txt webvpn username root password xxx class-map inspection_default match default-inspection-traffic policy-map type inspect dns migrated_dns_map_1 parameters message-length maximum client auto message-length maximum 512 policy-map global_policy class inspection_default inspect dns migrated_dns_map_1 inspect ftp inspect h323 h225 inspect h323 ras inspect netbios inspect rsh inspect rtsp inspect skinny inspect esmtp inspect sqlnet inspect sunrpc inspect tftp inspect sip inspect xdmcp inspect ip-options inspect http inspect ils inspect pptp inspect icmp service-policy global_policy global prompt hostname context call-home profile CiscoTAC-1 no active destination address http https://tools.cisco.com/its/service/odd ... DCEService destination address email callhome@cisco.com destination transport-method http subscribe-to-alert-group diagnostic subscribe-to-alert-group environment subscribe-to-alert-group inventory periodic monthly subscribe-to-alert-group configuration periodic monthly subscribe-to-alert-group telemetry periodic daily Конфиг увы не последний, и урезанный. Проблемы в связке static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns или access-list DMZ extended permit ip host 172.17.15.130 any Не могу из инсайда попасть не по smtp не по rdp на сервер. Снаружи не попадаю по smtp. p.s. если что то слишком урезал, сорри добавлю. |
Автор: | Ilya [ 14 дек 2010, 19:06 ] |
Заголовок сообщения: | Re: Connection limit exceed на Asa |
denim писал(а): Как то так: static (DMZ,Outside) tcp 79.120.100.130 pop3 172.17.15.130 pop3 netmask 255.255.255.255 dns tcp 10 5 static (DMZ,Outside) tcp 79.120.100.130 imap4 172.17.15.130 imap4 netmask 255.255.255.255 dns tcp 10 5 static (DMZ,Outside) udp 79.120.100.99 6968 172.17.15.99 6968 netmask 255.255.255.255 dns tcp 10 5 static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 990 172.17.192.253 990 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 999 172.17.192.253 999 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 5721 172.17.192.253 5721 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 5678 172.17.192.253 5678 netmask 255.255.255.255 dns static (inside,Outside) tcp 79.120.100.253 5679 172.17.192.253 5679 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.253 26675 172.17.192.253 26675 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.146 53789 172.17.210.126 53789 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.146 64777 172.17.210.126 64777 netmask 255.255.255.255 dns tcp 10 2 static (inside,Outside) tcp 79.120.100.253 25863 172.17.192.253 smtp netmask 255.255.255.255 dns tcp 10 2 Конфиг увы не последний, и урезанный. Проблемы в связке static (DMZ,Outside) tcp 79.120.100.140 smtp 172.17.15.130 smtp netmask 255.255.255.255 dns или access-list DMZ extended permit ip host 172.17.15.130 any Не могу из инсайда попасть не по smtp не по rdp на сервер. Снаружи не попадаю по smtp. p.s. если что то слишком урезал, сорри добавлю. на части трансляций стоит как раз conn limit (те самые 10 и 2). на именно той, что Вам интересна - нет. Но я замечал такой глюк (на 8.2.1, кажется), что иногда эти лимиты применяются и к другим трансляциям. В итоге, настроил это в политике. |
Автор: | Fedia [ 15 дек 2010, 04:56 ] |
Заголовок сообщения: | Re: Connection limit exceed на Asa |
да, на .130 хост есть трансляция по РОР3, поэтому возможен глюк с такими же лимитами. Попробуйте снять эти лимиты |
Автор: | 921 [ 15 дек 2010, 11:07 ] |
Заголовок сообщения: | Re: Connection limit exceed на Asa |
Fedia писал(а): да, на .130 хост есть трансляция по РОР3, поэтому возможен глюк с такими же лимитами. Попробуйте снять эти лимиты Снимал на всех статиках для 130-го. Не помогло, думаю еще попробовать снять ограничения на всех статиках вообще. Пробовать оперативно не могу, можно только поздно вечером. |
Автор: | 921 [ 15 дек 2010, 23:51 ] |
Заголовок сообщения: | Re: Connection limit exceed на Asa |
Убрал лимит на 130й. Все заработало. По всей видимости, до этого все таки не везде убирал. Полагаю это все же баг, когда есть лимит на одной записи, то он применяется ко всем сессиям с адресом источника. Тему можно переносить в решенные. Сенкс! |
Страница 1 из 1 | Часовой пояс: UTC + 3 часа |
Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |