Jump to content

Проблемы с хождением трафика после обновления XFirewall

ABV
 Share

Recommended Posts

ABV

ABV

Posted
Posted

Добрый день, после обновления с версии 5.6.1-43 на 5.6.2-2196 с одной из подсетей стали происходить непонятные вещи.

Дано:

- Xfirewall-VA развернутый на Proxmox с тремя сетевухами и бриджами:

image.png.0ced000611441eec62253f8d5be899cd.png

- Три сети доступные напрямую через Xfirewall:

image.png.e1b2301a3c7d92123f7d47f02a80c822.png

- Текущая версия 5.6.2-2196 {на 5.6.1-43 все работало}.

Что было протестировано:

Обновление было сделано через ЦУС с помощью LZH файла - итог - проблемы после обновления. Далее в качестве эксперимента сделана чистая установка новой версии с последующей полной настройкой - проблемы тоже есть. Физику всю повторно проверил, коллизий нет. Хосты пингуют друг друга.

Проблематика:

Например до сервера 172.21.204.60 который находятся в условной 204 сети, рабочка 172.21.200.67 находящийся в 200 сети достучаться по 443 порту не может, при этом для эксперимента транзитный фильтр был сделан самый простой "по сути труба", блокирующих фильтров перед ним нет.

image.thumb.png.e417cdf0c0cb30bf8157c9900450f176.png

 

image.png.fb2d1d838035c34dc436021226d2da36.png

В логах начинают светиться следующие:

xfva-34f2001e vmunix: [59689.498345] nf_ct_tcp: ACK is over the upper bound (ACKed data not seen yet) IN= OUT= SRC=172.21.200.67 DST=172.21.204.60 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=39921 DF PROTO=TCP SPT=51772 DPT=443 SEQ=173746333 ACK=946366088 WINDOW=0 RES=0x00 ACK RST URGP=0

xfva-34f2001e vmunix: [59671.586948] nf_ct_tcp: invalid state IN= OUT= SRC=172.21.200.67 DST=172.21.204.60 LEN=52 TOS=0x00 PREC=0x00 TTL=128 ID=39913 DF PROTO=TCP SPT=51772 DPT=443 SEQ=173746333 ACK=946366088 WINDOW=4106 RES=0x00 ACK URGP=0 OPT (0101050A3868668738686688)
May 14 14:01:31 2024
xfva-34f2001e vmunix: [59671.470215] nf_ct_tcp: invalid state IN= OUT= SRC=172.21.200.67 DST=172.21.204.60 LEN=557 TOS=0x00 PREC=0x00 TTL=128 ID=39912 DF PROTO=TCP SPT=51772 DPT=443 SEQ=173745816 ACK=946366088 WINDOW=4106 RES=0x00 ACK PSH URGP=0
May 14 14:01:31 2024
xfva-34f2001e vmunix: [59670.866034] nf_ct_tcp: invalid state IN= OUT= SRC=172.21.200.67 DST=172.21.204.60 LEN=557 TOS=0x00 PREC=0x00 TTL=128 ID=39911 DF PROTO=TCP SPT=51772 DPT=443 SEQ=173745816 ACK=946366088 WINDOW=4106 RES=0x00 ACK PSH URGP=0
May 14 14:01:30 2024
xfva-34f2001e vmunix: [59670.555623] nf_ct_tcp: invalid state IN= OUT= SRC=172.21.200.67 DST=172.21.204.60 LEN=557 TOS=0x00 PREC=0x00 TTL=128 ID=39910 DF PROTO=TCP SPT=51772 DPT=443 SEQ=173745816 ACK=946366088 WINDOW=4106 RES=0x00 ACK PSH URGP=0
May 14 14:01:30 2024
xfva-34f2001e vmunix: [59670.554792] nf_ct_tcp: invalid state IN= OUT= SRC=172.21.200.67 DST=172.21.204.60 LEN=40 TOS=0x00 PREC=0x00 TTL=128 ID=39909 DF PROTO=TCP SPT=51772 DPT=443 SEQ=173745816 ACK=946366088 WINDOW=4106 RES=0x00 ACK URGP=0

 

В журнале IP пакетов в графе фильтры и правила - "Нет данных" :

image.thumb.png.eb229615a3f2cf4bc94a103f0d3b1bf5.png

Одна из записей:

image.png.8960dfc525676fe457f76b5c2f2d2172.png

Помогите советом)

 

 

image.png

image.png

image.png

image.png

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...

Important Information

By using this site, you agree to our Terms of Use.

  I accept