Toon posts:

[checkpoint]Number: th_flags: 14 error

Pagina: 1
Acties:

Verwijderd

Topicstarter
Number: 3718
Date: 16Feb2004
Time: 1:39:51
Product: VPN-1 & FireWall-1
Interface: N1001
Origin: *********
Type: Log
Action: Drop
Service: 16427
Source: ********
Destination: ********
Protocol: tcp
Source Port: http
Information: th_flags: 14
message_info: TCP packet out of state
--------------------------------------------------------------------------------------

ik heb gezocht op internet en nu blijkt dus dat als de destination waar je heen gaat
geen goede tcp data doorgeeft dat hij dan alle packetjes die terugkomen dropt, de oplossing die ik zie in 2 threads is om hotfix 2 te installen. ik heb geen ervaring met hotfix 2 en heb op dit moment geen toegang tot de release notes van hotfix 2 om te kijken of het daadwerkelijk is opgelost. voor de rest is er zeer weinig info te vinden op internet en al helemaal geen officiele info van byv checkpoint.

de server draait checkpoint fw-1 met fp3 op het secure platform

heeft 1 van jullie hier ervaring mee ?

Verwijderd

Waarom installeer je hotfix 2 niet eens? Ik weet niet wanneer die is uitgebracht, maar normaliter wordt het toch vrij snel duidelijk als een update niet goed is. En al zou het niet gefixt zijn; updaten is altijd beter.

Verwijderd

Topicstarter
Verwijderd schreef op 16 februari 2004 @ 15:36:
Waarom installeer je hotfix 2 niet eens? Ik weet niet wanneer die is uitgebracht, maar normaliter wordt het toch vrij snel duidelijk als een update niet goed is. En al zou het niet gefixt zijn; updaten is altijd beter.
omdat ik dat nog niet kan/mag , ben stagair bij een bedrijf en ben die error aan het uitzoeken, ik rapporteer morgen aan de hoofd systeembeheerder en die zal dan beslissen.

wil graag zoveel mogelijk data/info vergaren

  • Predator
  • Registratie: Januari 2001
  • Laatst online: 11:46

Predator

Suffers from split brain

"TCP packet out of state" errors zijn wel redelijk normaal hoor.
Nou ja, 'normaal' is relatief gezien. :)

Aangezien je natuurlijk met een statefull firewall werkt houdt die actieve verbindingen maar een tijdje in het geheugen. Default is dat 1 uur.
Als een TCP connectie meer dan 1 uur idle blijft zal je firewall de entry uit zijn state table verwijderen. Komt er dan toch nog een packetje over die TCP verbinding zal je firewall het packetje droppen en die log entry genereren omdat voor hem die verbinding niet bestaat.
Je krijgt dus een gewoon data packetje zonder dat er een verbinding in de established state is en dus 'out of state' is.

Als je TCP out of state errors ziet is dit meestal wat er gebeurd is.

Je kan (als je wil) de TCP timeout voor established connections verhogen als je dat wil in de global properties. Of je maakt bij services een object aan voor die poort en bij de advanced instellingen kan je een specifieke timeout instellen. Die is dan enkel hoger voor die poort.

[ Voor 10% gewijzigd door Predator op 16-02-2004 20:18 ]

Everybody lies | BFD rocks ! | PC-specs