Сообщения без ответов | Активные темы Текущее время: 25 май 2020, 11:37



Ответить на тему  [ Сообщений: 14 ] 
PAT + ACL на CISCO 2921 
Автор Сообщение

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Всем привет! Нужна ваша помощь, коллеги:
На маршрутизаторе настроен НАТ оверлоад и проброс порта в локалку
Код:
ip nat inside source list nat-out interface GigabitEthernet0/1 overload
ip nat inside source static tcp 192.168.1.99 10799 "мой внешний белый IP" 599 extendable

на внешнем интерфейсе ACL:
Код:
ip access-list extended SPOOFING
 deny   ip 192.168.0.0 0.0.255.255 any
 deny   ip 192.0.2.0 0.0.0.255 any
 deny   ip 0.0.0.0 0.255.255.255 any
 deny   ip host 255.255.255.255 any
 deny   ip 127.0.0.0 0.255.255.255 any
 deny   ip 224.0.0.0 15.255.255.255 any
 deny   ip 240.0.0.0 7.255.255.255 any
 deny   ip 10.0.0.0 0.255.255.255 any
 deny   ip 172.16.0.0 0.15.255.255 any
 deny   ip 169.254.0.0 0.0.255.255 any
 permit ip any any

задача и вопрос: нужно разрешить подключение по порту 599 только с одного конкретного внешнего адреса, как правильно это сделать?
И вопрос - загадка: почему-то не работает проброс портов выше 1023, т.е.
ip nat inside source static tcp 192.168.1.99 10799 "мой внешний белый IP" 1024 extendable - работать не будет и любой порт выше.
Код:
System image file is "flash0:c2900-universalk9-mz.SPA.151-4.M4.bin"


03 дек 2019, 10:45
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 403
Откуда: Moscow
mihalich писал(а):
на внешнем интерфейсе ACL:
...
permit ip any any

А нафига такой экстрим?
Firewall вас заломало включить или религия не позволяет?

_________________
Knowledge is Power


03 дек 2019, 13:28
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Silent_D писал(а):
А нафига такой экстрим?
Firewall вас заломало включить или религия не позволяет?

Это всё эксперименты. И, конечно, это не единственный ACL на роутере, + NAT.
Имеете ввиду ip inspect? После включения возрастёт нагрузка, а циска и так с трудом 300 Мбит вытягивате да и опыта у меня, честно говоря, мало, но попробовать можно.
Этого будет достаточно:
Код:
ip inspect name FIREWALL_OUT tcp
ip inspect name FIREWALL_OUT udp
ip inspect name FIREWALL_OUT icmp


Подскажите с ACL на внешнем интерфейсе, я правильно понимаю, что здесь в permit добаваляю порты из ip nat inside source static, предположим к вэб-серверу и разрешу пинговать роутер?
Код:
 ip access-list extended FIREWALL_ACL
 permit tcp any any eq www
 permit icmp any any
 deny   ip any any

Код:
 interface GigabitEthernet0/0
 description "Internet"
 ip access-group FIREWALL_ACL in
 ip inspect FIREWALL_OUT out


03 дек 2019, 16:25
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
В общем, помоги себе сам называется.
Сделал пока так, если у кого-нибудь есть полезные замечания - буду благодарен:
Код:
ip inspect max-incomplete high 4000
ip inspect max-incomplete low 3500
ip inspect one-minute high 8000
ip inspect one-minute low 7000
ip inspect hashtable-size 2048
ip inspect tcp finwait-time 10
ip inspect tcp max-incomplete host 200 block-time 0
ip inspect tcp reassembly queue length 176
ip inspect tcp reassembly timeout 10
ip inspect name FIREWALL_OUT tcp
ip inspect name FIREWALL_OUT udp
ip inspect name FIREWALL_OUT icmp
ip inspect name FIREWALL_OUT router
ip inspect name FIREWALL_OUT http
ip inspect name FIREWALL_OUT https
ip inspect name FIREWALL_OUT ftp
ip inspect name FIREWALL_OUT ntp
ip inspect name FIREWALL_OUT dns
ip inspect name FIREWALL_OUT bittorrent

Код:
interface GigabitEthernet0/1
 description Internet
 ip address "мой внешний белый IP"
 ip access-group FIREWALL_ACL in
 no ip redirects
 no ip unreachables
 no ip proxy-arp
 ip pim dense-mode
 ip nat outside
 ip inspect FIREWALL_OUT out
 ip virtual-reassembly in drop-fragments max-reassemblies 128

Код:
ip access-list extended FIREWALL_ACL
 permit tcp any host "мой внешний белый IP" eq www
 permit tcp host "Дом" host "мой внешний белый IP" eq 55 55555
 permit tcp any host "мой внешний белый IP" eq 777 log
 permit udp any eq domain any
 permit udp any eq ntp any
 permit icmp any any echo
 permit icmp any any echo-reply
 permit icmp any any fragments
 permit icmp any any administratively-prohibited
 permit icmp any any unreachable
 permit icmp any any packet-too-big
 permit icmp any any traceroute
 permit icmp any any time-exceeded
 permit icmp any any timestamp-reply
 permit icmp any any host-unknown
 permit icmp any any host-unreachable
 deny   icmp any any
 deny   ip any any


05 дек 2019, 12:09
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 403
Откуда: Moscow
mihalich писал(а):
Сделал пока так, если у кого-нибудь есть полезные замечания - буду благодарен

1. Содержимое ip access-list extended SPOOFING я бы в начало добавил. Зачем вы его убрали?
2. icmp входит в ip, так что отдельный deny icmp any any не нужен.
3. Почты (SMTP) у вас в сети нет?

_________________
Knowledge is Power


05 дек 2019, 13:05
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
1. Добавил. Подумал, что эти адреса и так будут заблокированы, вить в конце списка deny ip any any.
2. Убрал. Нашёл на просторах необъятной, что для icmp нужен отдельный deny.
3. Добавил. Внутри сети своего сервера нет, после включения фаервола проверял, почтовые клиенты письма получают и отправляют


05 дек 2019, 14:09
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Остался один вопрос: не пробрасываются порты выше 1023. Предполагаю, что это или провайдер режет (хотя уверяли, что не они), или IOS пора обновлять.
И не много напрягает быстро растущий счётцик deny ip any any (10744 matches) - это за пять минут набежало на входящий порт. Или это можно считать нормой?


06 дек 2019, 15:41
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 403
Откуда: Moscow
mihalich писал(а):
Остался один вопрос: не пробрасываются порты выше 1023.
Предполагаю, что это или провайдер режет (хотя уверяли, что не они), или IOS пора обновлять.

Ну это не роутер точно. Что, впрочем, не мешает IOS обновить.

_________________
Knowledge is Power


06 дек 2019, 21:10
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 403
Откуда: Moscow
mihalich писал(а):
И немного напрягает быстро растущий счётчик deny ip any any (10744 matches) - это за пять минут набежало на входящий порт.
Или это можно считать нормой?

Ну добавьте log в конце, посмотрите, кто там такой настойчивый.
Может это злые китайские хакеры, а может это просто у провайдера мультикаст гуляет.
Только не оставляйте насовсем, log в ACL сильно напрягает рутер.

_________________
Knowledge is Power


07 дек 2019, 01:20
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Silent_D писал(а):
Ну добавьте log в конце, посмотрите, кто там такой настойчивый.
Может это злые китайские хакеры, а может это просто у провайдера мультикаст гуляет.
Только не оставляйте насовсем, log в ACL сильно напрягает рутер.

Включил на пару секунд лог, айпишники всякие разные и наши, и иностранные (яндекс, амазон, микрософт, гугл и т.д.)
Код:
002621: Dec 10 14:12:43: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.185.138(443) -> "мой внешний белый IP"(49440), 1 packet
002622: Dec 10 14:12:44: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.129(443) -> "мой внешний белый IP"(12584), 1 packet
002623: Dec 10 14:12:45: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 37.9.112.35(443) -> "мой внешний белый IP"(42947), 1 packet
002624: Dec 10 14:12:46: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 31.13.92.52(443) -> "мой внешний белый IP"(56360), 1 packet
002625: Dec 10 14:12:47: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 178.176.158.73(443) -> "мой внешний белый IP"(49538), 1 packet
002626: Dec 10 14:12:48: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002627: Dec 10 14:12:49: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002628: Dec 10 14:12:50: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002629: Dec 10 14:12:51: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002630: Dec 10 14:12:52: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002631: Dec 10 14:12:53: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002632: Dec 10 14:12:54: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.251.119(443) -> "мой внешний белый IP"(52730), 1 packet
002633: Dec 10 14:12:55: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 37.9.112.36(443) -> "мой внешний белый IP"(54596), 1 packet
002634: Dec 10 14:12:56: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.129(443) -> "мой внешний белый IP"(49217), 1 packet
002635: Dec 10 14:12:57: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 77.88.21.119(443) -> "мой внешний белый IP"(51963), 1 packet
002636: Dec 10 14:12:58: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 185.62.200.245(80) -> "мой внешний белый IP"(42112), 1 packet
002637: Dec 10 14:12:59: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 52.114.158.50(443) -> "мой внешний белый IP"(27555), 1 packet
002638: Dec 10 14:13:00: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.188(443) -> "мой внешний белый IP"(12645), 1 packet
002639: Dec 10 14:13:01: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 64.233.162.94(443) -> "мой внешний белый IP"(51021), 1 packet
002640: Dec 10 14:13:02: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 194.226.180.57(443) -> "мой внешний белый IP"(63656), 1 packet
002641: Dec 10 14:13:03: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 77.88.55.88(443) -> "мой внешний белый IP"(27598), 1 packet
002642: Dec 10 14:13:04: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 173.194.222.95(443) -> "мой внешний белый IP"(1667), 1 packet
002643: Dec 10 14:13:05: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 209.85.233.95(443) -> "мой внешний белый IP"(58946), 1 packet
002644: Dec 10 14:13:06: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.250.250.210(443) -> "мой внешний белый IP"(50106), 1 packet
002645: Dec 10 14:13:07: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 173.194.222.113(443) -> "мой внешний белый IP"(51815), 1 packet
002646: Dec 10 14:13:08: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 87.240.129.186(443) -> "мой внешний белый IP"(51774), 1 packet
002647: Dec 10 14:13:09: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 13.33.245.115(443) -> "мой внешний белый IP"(51005), 1 packet
002648: Dec 10 14:13:11: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 92.242.35.41(443) -> "мой внешний белый IP"(49296), 1 packet
002649: Dec 10 14:13:12: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 37.9.92.15(443) -> "мой внешний белый IP"(35106), 1 packet
002650: Dec 10 14:13:13: %SEC-6-IPACCESSLOGP: list FIREWALL_ACL denied tcp 64.233.165.128(80) -> "мой внешний белый IP"(56942), 1 packet

Почему-то нету статистики по HTTPS, хоть и прописано в конфиге ip inspect name FIREWALL_OUT https и порт на source ip как раз 443
Код:
sh ip inspect statistics
Packet inspection statistics [process switch:fast switch]
  tcp packets: [338257:267831061]
  udp packets: [1579938:60184130]
  icmp packets: [8743:102198]
  smtp packets: [0:21169]
  http packets: [82053:51617527]
  ftp packets: [9215:0]
  sip packets: [9519:0]
  imap packets: [1435:0]
  pop3 packets: [0:1636]

П.С. Попутно вычислил несколько неправильно настроенных почтовых клиентов.


10 дек 2019, 14:32
Профиль

Зарегистрирован: 07 сен 2014, 02:54
Сообщения: 403
Откуда: Moscow
mihalich писал(а):
Почему-то нету статистики по HTTPS, хоть и прописано в конфиге ip inspect name FIREWALL_OUT https
и порт на source ip как раз 443

Судя по логу, у вас дропается обычный https трафик, и даже http там мелькает.
Или у вас ip inspect как-то криво настроен, или IOS глючит.
Попробуйте для начала обновить IOS.

_________________
Knowledge is Power


10 дек 2019, 15:56
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Обновление IOS особо делу не помогло, пакеты продолжают дропаться, static PAT выше 1023 по прежнему не работает и появились новые ошибки:
Код:
536645: Dec 19 10:33:46: %SYS-2-BLOCKHUNG: Task hung with blocking disabled, value = 0x1. -Process= "Inspect process", ipl= 0, pid= 307
-Traceback= 300543B8z 36A75230z 30032B5Cz 30032B40z
536646: Dec 19 10:34:46: %SYS-2-NOBLOCK: idle with blocking disabled. -Process= "Inspect process", ipl= 0, pid= 307
-Traceback= 300543B8z 36A75230z 30032B5Cz 30032B40z
536647: Dec 19 10:34:47: %SYS-2-BLOCKHUNG: Task hung with blocking disabled, value = 0x1. -Process= "Inspect process", ipl= 0, pid= 307
-Traceback= 300543B8z 36A75230z 30032B5Cz 30032B40z
536648: Dec 19 10:35:47: %SYS-2-NOBLOCK: idle with blocking disabled. -Process= "Inspect process", ipl= 0, pid= 307
-Traceback= 300543B8z 36A75230z 30032B5Cz 30032B40z
536649: Dec 19 10:35:48: %SYS-2-BLOCKHUNG: Task hung with blocking disabled, value = 0x1. -Process= "Inspect process", ipl= 0, pid= 307
-Traceback= 300543B8z 36A75230z 30032B5Cz 30032B40z

debug ip inspect protocol tcp:
Код:
536428: Dec 19 10:19:52: FIREWALL: data length for this packet is zero, returning
536429: Dec 19 10:19:52: FIREWALL* sis 238D25E0 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP ACK 2390272355 SEQ 1284893803 LEN 0 ("мой внешний IP":45215) => (173.194.222.155:443)
536430: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 398 to 101888
536431: Dec 19 10:19:52: FIREWALL* sis 238C6820 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP ACK 348010149 SEQ 2954394335 LEN 0 ("мой внешний IP":45216) => (173.194.222.155:443)
536432: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 409 to 104704
536433: Dec 19 10:19:52: FIREWALL* sis 238D25E0 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP FIN ACK 2390272355 SEQ 1284893803 LEN 0 ("мой внешний IP":45215) => (173.194.222.155:443)
536434: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 398 to 101888
536435: Dec 19 10:19:52: FIREWALL* sis 238C6820 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP FIN ACK 348010149 SEQ 2954394335 LEN 0 ("мой внешний IP":45216) => (173.194.222.155:443)
536436: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 409 to 104704
536437: Dec 19 10:19:52: FIREWALL* sis 3FA544D0 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 3348091069 SEQ 4132499041 LEN 1460 (23.105.238.164:443) <= (192.168.21.92:49275)
536438: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 245 to 31360
536439: Dec 19 10:19:52: FIREWALL* sis 241652F4 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3292915461 SEQ 4156597173 LEN 0 ("мой внешний IP":42194) => (161.117.97.84:443)
536440: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 354 to 90624
536441: Dec 19 10:19:52: FIREWALL* sis 241652F4 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3292916921 SEQ 4156597173 LEN 0 ("мой внешний IP":42194) => (161.117.97.84:443)
536442: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 365 to 93440
536443: Dec 19 10:19:52: FIREWALL* sis 241652F4 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3292917093 SEQ 4156597173 LEN 0 ("мой внешний IP":42194) => (161.117.97.84:443)
536444: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 377 to 96512
536445: Dec 19 10:19:52: FIREWALL* sis 2109DB94 pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 2089593525 SEQ 2862469726 LEN 39 ("мой внешний IP":49532) => (81.19.89.25:443)
536446: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 16425 to 65700
536447: Dec 19 10:19:52: FIREWALL* sis 210948F4 pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 2777332145 SEQ 721346221 LEN 39 ("мой внешний IP":49535) => (81.19.89.27:443)
536448: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 16302 to 65208
536449: Dec 19 10:19:52: FIREWALL* sis 238D25E0 pak 219F77C8 SIS_CLOSING/LASTACK TCP ACK 1284893804 SEQ 2390272355 LEN 0 (173.194.222.155:443) <= (192.168.22.130:45215)
536450: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 253 to 64768
536451: Dec 19 10:19:52: FIREWALL* sis 238C6820 pak 219F77C8 SIS_CLOSING/LASTACK TCP ACK 2954394336 SEQ 348010149 LEN 0 (173.194.222.155:443) <= (192.168.22.130:45216)
536452: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 253 to 64768
536453: Dec 19 10:19:52: FIREWALL* sis 2109DB94 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 2862469765 SEQ 2089593525 LEN 0 (81.19.89.25:443) <= (192.168.21.95:49532)
536454: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 62 to 31744
536455: Dec 19 10:19:52: FIREWALL* sis 210948F4 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 721346260 SEQ 2777332145 LEN 0 (81.19.89.27:443) <= (192.168.21.95:49535)
536456: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 62 to 31744
536457: Dec 19 10:19:52: FIREWALL* sis 210948F4 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 721346260 SEQ 2777332145 LEN 39 (81.19.89.27:443) <= (192.168.21.95:49535)
536458: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 62 to 31744
536459: Dec 19 10:19:52: FIREWALL* sis 2109DB94 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2862469765 SEQ 2089593525 LEN 39 (81.19.89.25:443) <= (192.168.21.95:49532)
536460: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 62 to 31744
536461: Dec 19 10:19:52: FIREWALL* sis 3FA544D0 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 4132500501 SEQ 3348091069 LEN 0 ("мой внешний IP":49275) => (23.105.238.164:443)
536462: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536463: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042237839 LEN 1400 (195.91.220.35:8005) <= (192.168.21.60:49478)
536464: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536465: Dec 19 10:19:52: FIREWALL* sis 3FA5ED00 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 614466361 SEQ 2894087469 LEN 89 (213.180.204.179:443) <= (192.168.21.58:49227)
536466: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 137 to 35072
536467: Dec 19 10:19:52: FIREWALL* sis 23D4341C pak 3E2614A0 SIS_OPEN/ESTAB TCP PSH ACK 2478587498 SEQ 188968625 LEN 1455 (163.172.58.226:80) <= (192.168.21.80:52055)
536468: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 1026 to 65664
536469: Dec 19 10:19:52: FIREWALL* sis 23D4341C http L7 inspect result: PASS packet
536470: Dec 19 10:19:52: FIREWALL* Details of Pak 3E2614A0 IP: s=163.172.58.226 (GigabitEthernet0/2), d=192.168.21.80 (GigabitEthernet0/0.21), len 1509, proto=6
536471: Dec 19 10:19:52: FIREWALL: pak seq = 188968625, rcvwnd = 65664 rcvnxt = 2478587498
536472: Dec 19 10:19:52: FIREWALL* sis 23D4341C pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 188970080 SEQ 2478587498 LEN 0 (192.168.21.80:52055) => (163.172.58.226:80)
536473: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536474: Dec 19 10:19:52: FIREWALL* Details of Pak 3E06F368 IP: s=192.168.21.80 (GigabitEthernet0/0.21), d=163.172.58.226 (GigabitEthernet0/2), len 64, proto=6
536475: Dec 19 10:19:52: FIREWALL: data length for this packet is zero, returning
536476: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3042239239 SEQ 2618793557 LEN 0 ("мой внешний IP":49478) => (195.91.220.35:8005)
536477: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 229 to 58624
536478: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042239239 LEN 1400 (195.91.220.35:8005) <= (192.168.21.60:49478)
536479: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536480: Dec 19 10:19:52: FIREWALL* sis 238C6A48 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 2499133081 SEQ 448302770 LEN 0 ("мой внешний IP":1080) => (77.88.55.88:443)
536481: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 1570 to 401920
536482: Dec 19 10:19:52: FIREWALL* sis 241652F4 pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 3292917093 SEQ 4156597173 LEN 93 ("мой внешний IP":42194) => (161.117.97.84:443)
536483: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 377 to 96512
536484: Dec 19 10:19:52: FIREWALL* sis 23FE92E8 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 4255290745 SEQ 768418148 LEN 1460 ("мой внешний IP":50313) => (194.0.219.160:443)
536485: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 252 to 64512
536486: Dec 19 10:19:52: FIREWALL* sis 23FE92E8 pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 4255290745 SEQ 768419608 LEN 865 ("мой внешний IP":50313) => (194.0.219.160:443)
536487: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 252 to 64512
536488: Dec 19 10:19:52: FIREWALL* sis 3FEF758C pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 295715445 SEQ 613959203 LEN 1 ("мой внешний IP":49562) => (213.180.204.211:443)
536489: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 16222 to 64888
536490: Dec 19 10:19:52: FIREWALL* sis 3FEF758C L4 inspect result: SKIP packet 3E06F368 ("мой внешний IP":49562) (213.180.204.211:443) bytes 0 ErrStr = Retransmitted Segment Other
536491: Dec 19 10:19:52: FIREWALL* sis 23FE92E8 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 768419608 SEQ 4255290745 LEN 0 (194.0.219.160:443) <= (192.168.21.99:50313)
536492: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 73 to 37376
536493: Dec 19 10:19:52: FIREWALL* sis 23FE92E8 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 768420473 SEQ 4255290745 LEN 0 (194.0.219.160:443) <= (192.168.21.99:50313)
536494: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 78 to 39936
536495: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042240639 LEN 1200 (195.91.220.35:8005) <= (192.168.21.60:49478)
536496: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536497: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042241839 LEN 1 (195.91.220.35:8005) <= (192.168.21.60:49478)
536498: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536499: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042241840 LEN 200 (195.91.220.35:8005) <= (192.168.21.60:49478)
536500: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536501: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3042241839 SEQ 2618793557 LEN 0 ("мой внешний IP":49478) => (195.91.220.35:8005)
536502: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 219 to 56064
536503: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3042242040 SEQ 2618793557 LEN 0 ("мой внешний IP":49478) => (195.91.220.35:8005)
536504: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 218 to 55808
536505: Dec 19 10:19:52: FIREWALL* sis 3FEF758C pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 613959204 SEQ 295715445 LEN 0 (213.180.204.211:443) <= (192.168.21.95:49562)
536506: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 162 to 82944
536507: Dec 19 10:19:52: FIREWALL* sis 3FA544D0 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 3348091069 SEQ 4132500501 LEN 1460 (23.105.238.164:443) <= (192.168.21.92:49275)
536508: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 245 to 31360
536509: Dec 19 10:19:52: FIREWALL* sis 238CF448 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 3900738564 SEQ 1489499152 LEN 1460 (23.105.253.204:443) <= (192.168.21.30:49400)
536510: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 245 to 31360
536511: Dec 19 10:19:52: FIREWALL* sis 238CF448 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 3900738564 SEQ 1489500612 LEN 1460 (23.105.253.204:443) <= (192.168.21.30:49400)
536512: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 245 to 31360
536513: Dec 19 10:19:52: FIREWALL* sis 238CF448 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 1489502072 SEQ 3900738564 LEN 0 ("мой внешний IP":49400) => (23.105.253.204:443)
536514: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536515: Dec 19 10:19:52: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042242040 LEN 1400 (195.91.220.35:8005) <= (192.168.21.60:49478)
536516: Dec 19 10:19:52:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536517: Dec 19 10:19:53: FIREWALL* sis 210948F4 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 2777332184 SEQ 721346260 LEN 0 ("мой внешний IP":49535) => (81.19.89.27:443)
536518: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 16293 to 65172
536519: Dec 19 10:19:53: FIREWALL* sis 2109DB94 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 2089593564 SEQ 2862469765 LEN 0 ("мой внешний IP":49532) => (81.19.89.25:443)
536520: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 16415 to 65660
536521: Dec 19 10:19:53: FIREWALL* sis 210948F4 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 721346260 SEQ 2777332145 LEN 39 (81.19.89.27:443) <= (192.168.21.95:49535)
536522: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 62 to 31744
536523: Dec 19 10:19:53: FIREWALL* sis 210948F4 L4 inspect result: SKIP packet 219F77C8 (81.19.89.27:443) (192.168.21.95:49535) bytes 0 ErrStr = Retransmitted Segment Other
536524: Dec 19 10:19:53: FIREWALL* sis 210948F4 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 2777332184 SEQ 721346260 LEN 0 ("мой внешний IP":49535) => (81.19.89.27:443)
536525: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 16293 to 65172
536526: Dec 19 10:19:53: FIREWALL* sis 23D4341C pak 3E2614A0 SIS_OPEN/ESTAB TCP PSH ACK 2478587498 SEQ 188970080 LEN 1455 (163.172.58.226:80) <= (192.168.21.80:52055)
536527: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 1026 to 65664
536528: Dec 19 10:19:53: FIREWALL* sis 23D4341C http L7 inspect result: PASS packet
536529: Dec 19 10:19:53: FIREWALL* Details of Pak 3E2614A0 IP: s=163.172.58.226 (GigabitEthernet0/2), d=192.168.21.80 (GigabitEthernet0/0.21), len 1509, proto=6
536530: Dec 19 10:19:53: FIREWALL: pak seq = 188970080, rcvwnd = 65664 rcvnxt = 2478587498
536531: Dec 19 10:19:53: FIREWALL* sis 23D4341C pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 188971535 SEQ 2478587498 LEN 0 (192.168.21.80:52055) => (163.172.58.226:80)
536532: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 250 to 64000
536533: Dec 19 10:19:53: FIREWALL* Details of Pak 3E06F368 IP: s=192.168.21.80 (GigabitEthernet0/0.21), d=163.172.58.226 (GigabitEthernet0/2), len 64, proto=6
536534: Dec 19 10:19:53: FIREWALL: data length for this packet is zero, returning
536535: Dec 19 10:19:53: FIREWALL* sis 3FA544D0 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 4132501961 SEQ 3348091069 LEN 0 ("мой внешний IP":49275) => (23.105.238.164:443)
536536: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536537: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 3E06F368 SIS_CLOSED/LISTEN TCP SYN SEQ 2369317676 LEN 0 ("мой внешний IP":54287) => (88.212.242.52:443)
536538: Dec 19 10:19:53:  FIREWALL L4: Found TCP window scale option in SYN
536539: Dec 19 10:19:53:  FIREWALL L4: Scale window size by 8 bits for sis 2416596C
536540: Dec 19 10:19:53: FIREWALL* sis 3FA5ED00 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 2894087558 SEQ 614466361 LEN 0 ("мой внешний IP":1097) => (213.180.204.179:443)
536541: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 254 to 65024
536542: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPENING/SYNSENT TCP SYN ACK 2369317677 SEQ 623768522 LEN 0 (88.212.242.52:443) <= (192.168.21.36:54287)
536543: Dec 19 10:19:53:  FIREWALL L4: Found TCP window scale option in SYN
536544: Dec 19 10:19:53:  FIREWALL L4: Scale window size by 7 bits for sis 2416596C
536545: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 3E06F368 SIS_OPENING/SYNRCVD TCP ACK 623768523 SEQ 2369317677 LEN 0 ("мой внешний IP":54287) => (88.212.242.52:443)
536546: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536547: Dec 19 10:19:53: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042243440 LEN 1400 (195.91.220.35:8005) <= (192.168.21.60:49478)
536548: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536549: Dec 19 10:19:53: FIREWALL* sis 23FEC6A8 pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 3042244840 SEQ 2618793557 LEN 0 ("мой внешний IP":49478) => (195.91.220.35:8005)
536550: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 207 to 52992
536551: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 623768523 SEQ 2369317677 LEN 517 ("мой внешний IP":54287) => (88.212.242.52:443)
536552: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536553: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 2369318194 SEQ 623768523 LEN 0 (88.212.242.52:443) <= (192.168.21.36:54287)
536554: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 237 to 30336
536555: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 2369318194 SEQ 623768523 LEN 1460 (88.212.242.52:443) <= (192.168.21.36:54287)
536556: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 237 to 30336
536557: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 2369318194 SEQ 623769983 LEN 1460 (88.212.242.52:443) <= (192.168.21.36:54287)
536558: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 237 to 30336
536559: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 2369318194 SEQ 623771443 LEN 1460 (88.212.242.52:443) <= (192.168.21.36:54287)
536560: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 237 to 30336
536561: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2369318194 SEQ 623772903 LEN 724 (88.212.242.52:443) <= (192.168.21.36:54287)
536562: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 237 to 30336
536563: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 623773627 SEQ 2369318194 LEN 0 ("мой внешний IP":54287) => (88.212.242.52:443)
536564: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536565: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 623773627 SEQ 2369318194 LEN 126 ("мой внешний IP":54287) => (88.212.242.52:443)
536566: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536567: Dec 19 10:19:53: FIREWALL* sis 23D35C7C pak 3E06F368 SIS_OPEN/ESTAB TCP ACK 1735183820 SEQ 1542751575 LEN 1 (192.168.21.38:50953) => (185.120.188.148:80)
536568: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 3279 to 839424
536569: Dec 19 10:19:53: FIREWALL* sis 23D35C7C L4 inspect result: SKIP packet 3E06F368 (192.168.21.38:50953) (185.120.188.148:80) bytes 0 ErrStr = Retransmitted Segment http
536570: Dec 19 10:19:53: FIREWALL* Details of Pak 3E06F368 IP: s=192.168.21.38 (GigabitEthernet0/0.21), d=185.120.188.148 (GigabitEthernet0/2), len 64, proto=6
536571: Dec 19 10:19:53: FIREWALL: pak seq = 1542751575, rcvwnd = 839424 rcvnxt = 1735183820
536572: Dec 19 10:19:53: FIREWALL* sis 23D35C7C pak 3E2614A0 SIS_OPEN/ESTAB TCP ACK 1542751576 SEQ 1735183820 LEN 0 (185.120.188.148:80) <= (192.168.21.38:50953)
536573: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 1026 to 65664
536574: Dec 19 10:19:53: FIREWALL* Details of Pak 3E2614A0 IP: s=185.120.188.148 (GigabitEthernet0/2), d=192.168.21.38 (GigabitEthernet0/0.21), len 60, proto=6
536575: Dec 19 10:19:53: FIREWALL: data length for this packet is zero, returning
536576: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2369318320 SEQ 623773627 LEN 274 (88.212.242.52:443) <= (192.168.21.36:54287)
536577: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 237 to 30336
536578: Dec 19 10:19:53: FIREWALL* sis 3FA544D0 pak 219F77C8 SIS_OPEN/ESTAB TCP ACK 3348091069 SEQ 4132501961 LEN 1460 (23.105.238.164:443) <= (192.168.21.92:49275)
536579: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 245 to 31360
536580: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 623773901 SEQ 2369318320 LEN 605 ("мой внешний IP":54287) => (88.212.242.52:443)
536581: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 255 to 65280
536582: Dec 19 10:19:53: FIREWALL* sis 2416596C pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2369318925 SEQ 623773901 LEN 808 (88.212.242.52:443) <= (192.168.21.36:54287)
536583: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 246 to 31488
536584: Dec 19 10:19:53: FIREWALL* sis 23FEC6A8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 2618793557 SEQ 3042244840 LEN 1400 (195.91.220.35:8005) <= (192.168.21.60:49478)
536585: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 256 to 65536
536586: Dec 19 10:19:53: FIREWALL* sis 24ED0CB8 pak 3E06F368 SIS_CLOSED/LISTEN TCP SYN SEQ 3962618267 LEN 0 ("мой внешний IP":2057) => (94.100.180.215:443)
536587: Dec 19 10:19:53:  FIREWALL L4: Found TCP window scale option in SYN
536588: Dec 19 10:19:53:  FIREWALL L4: Scale window size by 8 bits for sis 24ED0CB8
536589: Dec 19 10:19:53: FIREWALL* sis 23D3FE34 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP RST ACK 1368666905 SEQ 4121349911 LEN 0 ("мой внешний IP":3368) => (193.0.170.53:443)
536590: Dec 19 10:19:53: FIREWALL* sis 241693A4 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP RST ACK 2833785647 SEQ 3665005439 LEN 0 ("мой внешний IP":3371) => (94.100.180.197:443)
536591: Dec 19 10:19:53: FIREWALL* sis 241697F4 pak 3E06F368 SIS_OPEN/CLOSEWAIT TCP RST ACK 1686939804 SEQ 2927549369 LEN 0 ("мой внешний IP":3370) => (94.100.180.197:443)
536592: Dec 19 10:19:53: FIREWALL* sis 24ED4F90 pak 3E06F368 SIS_CLOSED/LISTEN TCP SYN SEQ 41556941 LEN 0 ("мой внешний IP":3376) => (217.69.139.202:443)
536593: Dec 19 10:19:53:  FIREWALL L4: Found TCP window scale option in SYN
536594: Dec 19 10:19:53:  FIREWALL L4: Scale window size by 8 bits for sis 24ED4F90
536595: Dec 19 10:19:53: FIREWALL* sis 24ED0CB8 pak 219F77C8 SIS_OPENING/SYNSENT TCP SYN ACK 3962618268 SEQ 3052651074 LEN 0 (94.100.180.215:443) <= (192.168.21.26:2057)
536596: Dec 19 10:19:53: INI(192.168.21.26:2057)->RESP(94.100.180.215:443) proposed scaling RESP->INI no scaling, turning off scaling in both direction
536597: Dec 19 10:19:53: FIREWALL* sis 24ED0CB8 pak 3E06F368 SIS_OPENING/SYNRCVD TCP ACK 3052651075 SEQ 3962618268 LEN 0 ("мой внешний IP":2057) => (94.100.180.215:443)
536598: Dec 19 10:19:53: FIREWALL* sis 24ED4F90 pak 219F77C8 SIS_OPENING/SYNSENT TCP SYN ACK 41556942 SEQ 3640848661 LEN 0 (217.69.139.202:443) <= (192.168.21.68:3376)
536599: Dec 19 10:19:53: INI(192.168.21.68:3376)->RESP(217.69.139.202:443) proposed scaling RESP->INI no scaling, turning off scaling in both direction
536600: Dec 19 10:19:53: FIREWALL* sis 24ED4F90 pak 3E06F368 SIS_OPENING/SYNRCVD TCP ACK 3640848662 SEQ 41556942 LEN 0 ("мой внешний IP":3376) => (217.69.139.202:443)
536601: Dec 19 10:19:53: FIREWALL* sis 23FE92E8 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 768420473 SEQ 4255290745 LEN 290 (194.0.219.160:443) <= (192.168.21.99:50313)
536602: Dec 19 10:19:53:  FIREWALL L4: Scaling enabled, window size changed from 78 to 39936
536603: Dec 19 10:19:53: FIREWALL* sis 24ED0CB8 pak 3E06F368 SIS_OPEN/ESTAB TCP PSH ACK 3052651075 SEQ 3962618268 LEN 517 ("мой внешний IP":2057) => (94.100.180.215:443)
536604: Dec 19 10:19:53: FIREWALL* sis 24EDCCA0 pak 3E06F368 SIS_CLOSED/LISTEN TCP SYN SEQ 3988815854 LEN 0 ("мой внешний IP":3377) => (193.0.170.53:443)
536605: Dec 19 10:19:53:  FIREWALL L4: Found TCP window scale option in SYN
536606: Dec 19 10:19:53:  FIREWALL L4: Scale window size by 8 bits for sis 24EDCCA0
536607: Dec 19 10:19:53: FIREWALL* sis 241652F4 pak 219F77C8 SIS_OPEN/ESTAB TCP PSH ACK 4156597266 SEQ 3292917093 LEN 258 (161.117.97.84:443) <= (192.168.22.146:42194)

Код:
sh logg | inc SKIP
536369: Dec 19 10:19:52: FIREWALL* sis 2415FA8C L4 inspect result: SKIP packet 3E06F368 ("мой внешний IP":49196) (5.255.255.50:443) bytes 0 ErrStr = Retransmitted Segment Other
536392: Dec 19 10:19:52: FIREWALL* sis 238D25E0 L4 inspect result: SKIP packet 219F77C8 (173.194.222.155:443) (192.168.22.130:45215) bytes 0 ErrStr = Retransmitted Segment Other
536415: Dec 19 10:19:52: FIREWALL* sis 238C6820 L4 inspect result: SKIP packet 219F77C8 (173.194.222.155:443) (192.168.22.130:45216) bytes 0 ErrStr = Retransmitted Segment Other
536490: Dec 19 10:19:52: FIREWALL* sis 3FEF758C L4 inspect result: SKIP packet 3E06F368 ("мой внешний IP":49562) (213.180.204.211:443) bytes 0 ErrStr = Retransmitted Segment Other
536523: Dec 19 10:19:53: FIREWALL* sis 210948F4 L4 inspect result: SKIP packet 219F77C8 (81.19.89.27:443) (192.168.21.95:49535) bytes 0 ErrStr = Retransmitted Segment Other
536569: Dec 19 10:19:53: FIREWALL* sis 23D35C7C L4 inspect result: SKIP packet 3E06F368 (192.168.21.38:50953) (185.120.188.148:80) bytes 0 ErrStr = Retransmitted Segment http
sh logg | inc DROP
536410: Dec 19 10:19:52: FIREWALL* sis 22926A60 L4 inspect result: DROP packet 3E06F368 ("мой внешний IP":1119) (77.88.55.55:443) bytes 0 ErrStr = Stray Segment Other
536412: Dec 19 10:19:52: FIREWALL* sis 22926A60 L4 inspect result: DROP packet 3E06F368 ("мой внешний IP":1119) (77.88.55.55:443) bytes 0 ErrStr = Stray Segment Other

Код:
sh ip inspect tech-support
Packet inspection statistics [process switch:fast switch]
  tcp packets: [619246:306770508]
  udp packets: [1489858:83190053]
  icmp packets: [26946:172482]
  smtp packets: [0:22592]
  http packets: [286782:67529064]
  ftp packets: [100:0]
  streamworks packets: [1:8]
  sip packets: [14172:0]
  pop3 packets: [0:2859]
Interfaces configured for inspection 2 Pre-gen sessions 1
Session creations since subsystem startup or last reset 2440089
Current session counts (estab/half-open/terminating) [1416:7:14]
Maxever session counts (estab/half-open/terminating) [2606:1013:182]
Last session created 00:00:00
Last statistic reset never
Last session creation rate 537
Maxever session creation rate 2246
Last half-open session total 7
TCP reassembly statistics
  received 345635 packets out-of-order; dropped 6715
  peak memory usage 2732 KB; current usage: 0 KB
  peak queue length 1024

Packet disposition statistics [process switch:fastswitch]
  tcp packets dropped: [254371:809199]
  tcp packets skipped: [13502:4316065]
TCP session reset: 367516

Код:
sh run | inc ip inspect
ip inspect max-incomplete high 4000
ip inspect max-incomplete low 3500
ip inspect one-minute low 7000
ip inspect one-minute high 8000
ip inspect hashtable-size 2048
ip inspect tcp finwait-time 10
ip inspect tcp max-incomplete host 200 block-time 0
ip inspect tcp reassembly queue length 1024
ip inspect tcp reassembly timeout 10
ip inspect tcp reassembly memory limit 4096
ip inspect name FIREWALL_OUT icmp
ip inspect name FIREWALL_OUT router
ip inspect name FIREWALL_OUT http
ip inspect name FIREWALL_OUT https
ip inspect name FIREWALL_OUT ftp
ip inspect name FIREWALL_OUT ntp
ip inspect name FIREWALL_OUT dns
ip inspect name FIREWALL_OUT smtp
ip inspect name FIREWALL_OUT echo
ip inspect name FIREWALL_OUT igmpv3lite
ip inspect name FIREWALL_OUT imap
ip inspect name FIREWALL_OUT imap3
ip inspect name FIREWALL_OUT imaps
ip inspect name FIREWALL_OUT ssh
ip inspect name FIREWALL_OUT pop3 alert off
ip inspect name FIREWALL_OUT pop3s
ip inspect name FIREWALL_OUT time
ip inspect name FIREWALL_OUT timed
ip inspect name FIREWALL_OUT who
ip inspect name FIREWALL_OUT streamworks
ip inspect name FIREWALL_OUT lotusnote
ip inspect name FIREWALL_OUT ftps
ip inspect name FIREWALL_OUT h323
ip inspect name FIREWALL_OUT fragment maximum 512 timeout 1
ip inspect name FIREWALL_OUT exec
ip inspect name FIREWALL_OUT send
ip inspect name FIREWALL_OUT shell
ip inspect name FIREWALL_OUT sip
ip inspect name FIREWALL_OUT sip-tls
ip inspect name FIREWALL_OUT sshell
ip inspect name FIREWALL_OUT tcp
ip inspect name FIREWALL_OUT udp

Какие-нибудь протоколы в ip inspect надо ещё добавить? Есть команда как их все махом включить? А потом, как статистика накопится, лишние убрать.
И ещё ip tcp window-size 4128 - дефолтное, есть подозрение, что этого мало


19 дек 2019, 11:11
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Да и при всё при этом, вроде как, всё в порядке, пользователи не жалуются.


19 дек 2019, 11:13
Профиль

Зарегистрирован: 03 дек 2019, 09:17
Сообщения: 22
Подскажите ещё, пожалуйста, каким образом можно вывести один сабинтерфейс за фаервол, т.е. у меня есть есть что-то типа гостевой сети (в своём VLAN) и я не хочу что бы клиенты этой сети напрягали фаер?


23 дек 2019, 10:48
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 14 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 30


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB