|
|
| НА ГЛАВНУЮ | | WINDOWS | | СЕТИ | | МИКРОКОНТРОЛЛЕРЫ | | ПАРТНЕРЫ | | КАРТА САЙТА | | ПОИСК |
|
Сети > Фаервол > MSS exceeded. Решение проблемы, связанной с инспекцией трафика на Cisco ASA. Другие статьи, связанные с фаерволом. Описание проблемы. Пользователь пытается открыть web страницу с сервера, находящегося за фаерволом. При этом страница не открывается. На фаерволе в логе появляются следующие сообщения: Mar 21 2009 11:55:36: %ASA-4-419001: Dropping TCP packet from inside:10.1.1.77/80 to outside:192.168.18.30/1358, reason: MSS exceeded, MSS 1260, data 1445 Решение. MSS – это Максимальный Размер Сегмента ( Maximum Segment Size ). Два сетевых устройства в момент инициализации tcp сессии договариваются о том, что будут обмениваться пакетами, размер которых не будет превышаеть определенное значение – MSS. Суть рассматриваемой проблемы заключается в том, что web сервер посылает tcp пакеты с длинной большей MSS. Фаервол инспектирует проходящий через него трафик. Пакеты, размер которых превышает MSS, считаются подозрительными. По умолчанию, фаервол такие пакеты не пропускает. Напрашиваются два варианта решения: 1) Первый вариант. Правильный. Длинна пакетов может превышать MSS по нескольким причинам. Возможно, сам web сервер работает некорректно. В таком случае надо попытаться призвать его к порядку, т. е. заставить посылать пакеты правильной длинны. В качестве web сервера, может выступать некоторое устройство, например, web камера. Вполне вероятно, что в настройках этого устройства есть соответствующая установка, которая определяет MSS. Другой причинной может быть активность вируса или внешней программы, которые внедряют свои данные в чужой трафик. Понятно, что в этом случае надо обнаружить и устранить помеху.
2) Второй вариант. В случае, когда правильное решение не работает. Допустим, что возможности обеспечить нормальную длину пакетов нет. Но, тем не менее, требуется обеспечить нормальную работу пользователя. В этом случае можно запретить фаерволу препятствовать прохождению ‘страдающего' трафика. Для этого потребуется выполнить следующие настройки: ! -- создаем access-list, в котором описываем трафик -- access-list MSS_Exc_ACL permit tcp host 10.1.1.77 eq 80 any ! ! -- создаем class-map, который привязываем к созданному списку доступа -- class-map MSS_Exc_MAP match access-list MSS_Exc_ACL exit ! ! -- создаем tcp-map, в котором разрешаем превышение MSS -- tcp-map mss-map exceed-mss allow exit ! ! -- создаем policy-map, привязываем его к ранее созданному классу и указываем действие согласно tcp-map -- policy-map MSS_Exc_MAP_Pol class MSS_Exc_MAP set connection advanced-options mss-map exit exit ! ! -- применяем политику к интерфейсу inside -- service-policy MSS_Exc_MAP_Pol interface inside ! Теперь, несмотря на превышение MSS, фаервол пропустит трафик с 80-го порта хоста 10.1.1.77. Что еще почитать по этой теме: - Предотвращение IP-фрагментации. Что такое TCP MSS и как оно работает . Что еще посмотреть? - Использование авторизации пользователей на фаерволе cisco ASA для ограничения доступа к сетевым ресурсам. - Перехват трафика на Cisco ASA. - Другие статьи о настройке сетевых устройств, в том числе фаерволов.
Если Вы обнаружили ошибки в этой статье или у Вас есть замечания, прошу писать на адрес sun29ny@yandex.ru. |
| НА ГЛАВНУЮ | | WINDOWS | | СЕТИ | | МИКРОКОНТРОЛЛЕРЫ | | ПАРТНЕРЫ | | КАРТА САЙТА | | ПОИСК |
|
Любое использование материалов допускается только с указанием в качестве источника информации сайта sun29ny.narod.ru. Гиперссылка обязательна. Согласование с автором обязательно. Все замечания и пожелания присылайте на sun29ny@yandex.ru. |