/ Forside / Teknologi / Netværk / TCP/IP / Nyhedsindlæg
Login
Glemt dit kodeord?
Brugernavn

Kodeord


Reklame
Top 10 brugere
TCP/IP
#NavnPoint
Per.Frede.. 4668
BjarneD 4017
severino 2804
pallebhan.. 1680
EXTERMINA.. 1525
xou 1455
strarup 1430
Manse9933 1419
o.v.n. 1400
10  Fijala 1204
Forbindelse mistes
Fra : Brian Ipsen


Dato : 10-04-02 22:40

Hej!

Jeg har et meget underligt problem med et par RedHat 7.2 maskiner og en
Cisco PIX 515 firewall - og jeg er ikke helt klar over, hvor problemet
ligger (derfor denne cross-posting).

I DMZ har jeg en mailserver stående med IP 192.168.1.180, og på det interne
net står en maskine med service monitorering (192.168.0.178 - jeg har prøvet
både Demarc og Mon). Det, som der sker, er at efter et stykke tid kan
maskinen på det interne net ikke længere få fat i mail-serveren i DMZ. Den
kan godt ping'e andre maskiner i DMZ, og andre maskiner på det interne net
kan uden problemer ping'e mailserveren i DMZ.... Skifter jeg IP adresse på
Redhat maskinen på det interne net, så fungerer det hele igen (men jeg er
ikke klar over hvor længe)
Er det den RedHat på maskinen i det interne net (med
service/daemon-overvågning), der er problemet - eller er det måske et
konfigurations-problem i PIX firewall'en ??

Mvh.





 
 
Kent Friis (11-04-2002)
Kommentar
Fra : Kent Friis


Dato : 11-04-02 17:09

Den Wed, 10 Apr 2002 23:40:03 +0200 skrev Brian Ipsen:
>Hej!
>
> Jeg har et meget underligt problem med et par RedHat 7.2 maskiner og en
>Cisco PIX 515 firewall - og jeg er ikke helt klar over, hvor problemet
>ligger (derfor denne cross-posting).
>
>I DMZ har jeg en mailserver stående med IP 192.168.1.180, og på det interne
>net står en maskine med service monitorering (192.168.0.178 - jeg har prøvet
>både Demarc og Mon). Det, som der sker, er at efter et stykke tid kan
>maskinen på det interne net ikke længere få fat i mail-serveren i DMZ. Den
>kan godt ping'e andre maskiner i DMZ, og andre maskiner på det interne net
>kan uden problemer ping'e mailserveren i DMZ.... Skifter jeg IP adresse på
>Redhat maskinen på det interne net, så fungerer det hele igen (men jeg er
>ikke klar over hvor længe)

Vi har et lignende problem med vores PIX-firewalls på arbejdet - hvis
en host har haft mange connections til samme ip-nr igennem firewall'en,
så er det som om at det bliver "fyldt op" (selvom connections bliver /
burde blive lukket igen), og man kan ikke connecte længere. Venter man
så et stykke tid, virker det igen.

Det er enkelte gange gået galt mod maskiner i DMZ, men det sker oftest
når man sidder og læser slashdot.

Mvh
Kent
--
Advarsel: ny e-mail adresse - med risiko for at mails går tabt.
Den gamle adresse virker stadig, men bliver primært checket i
arbejdstiden.

Ulrik Lunddahl (12-04-2002)
Kommentar
Fra : Ulrik Lunddahl


Dato : 12-04-02 01:10

"Kent Friis" <leeloo@phreaker.net> wrote:

> Vi har et lignende problem med vores PIX-firewalls på arbejdet - hvis
> en host har haft mange connections til samme ip-nr igennem firewall'en,
> så er det som om at det bliver "fyldt op" (selvom connections bliver /
> burde blive lukket igen), og man kan ikke connecte længere. Venter man
> så et stykke tid, virker det igen.

Jeg syntes jeg kan huske noget med nogen 515 der havde hardware fejl, det
udmyntede sig i at ustabilitet ved høje belastninger, eller mange
connections, jeg er ikke sikker på om det var releteret til bestemte netkort
(i PIX'en altså), men løsningen var at senden den til cisco og få en
replacement.

Jeg aner ikke hvor jeg skal søge efter sådanne cisco mails, men jeg kan bare
huske mailen svagt, og der var helt sikkert serienumre med de enheder der
havde fejl.

Men efter 2 sek hos google blev det til dette link:

http://www.cisco.com/warp/public/770/52.html

Min PIX515 har i snart 2 år opført sig perfekt...


--
Med Venlig Hilsen

Ulrik Lunddahl - nospam037@lunddahl.dk
My heroes: Heddy Lamar & George Antheil



Brian Ipsen (12-04-2002)
Kommentar
Fra : Brian Ipsen


Dato : 12-04-02 06:47

On Fri, 12 Apr 2002 02:10:08 +0200, "Ulrik Lunddahl"
<nospam037@lunddahl.dk> wrote:

>> Vi har et lignende problem med vores PIX-firewalls på arbejdet - hvis
>> en host har haft mange connections til samme ip-nr igennem firewall'en,
>> så er det som om at det bliver "fyldt op" (selvom connections bliver /
>> burde blive lukket igen), og man kan ikke connecte længere. Venter man
>> så et stykke tid, virker det igen.
>
>Jeg syntes jeg kan huske noget med nogen 515 der havde hardware fejl, det
>udmyntede sig i at ustabilitet ved høje belastninger, eller mange
>connections, jeg er ikke sikker på om det var releteret til bestemte netkort
>(i PIX'en altså), men løsningen var at senden den til cisco og få en
>replacement.
>
>Jeg aner ikke hvor jeg skal søge efter sådanne cisco mails, men jeg kan bare
>huske mailen svagt, og der var helt sikkert serienumre med de enheder der
>havde fejl.
>
>Men efter 2 sek hos google blev det til dette link:
>
>http://www.cisco.com/warp/public/770/52.html

Tjae, efter hvad jeg kan se, er der tale om ethernet0 porten, og de
foreslår, at man opgraderer software på PIX*en. Den kører i øjeblikket
6.1.3, så det kan vist ikke blive meget nyere... Det er også kun dene
ene IP adresse på det interne netværk, der har problemet - alle andre
maskiner på det internet net kan fint ping'e host'en i DMZ... Lige i
øjeblikket er der ikke defineret embryonic limit op nogen steder i
pix'en - men det burde vel heller ikke være nødvendigt fra det interne
net til DMZ ??

/Brian



Søg
Reklame
Statistik
Spørgsmål : 177560
Tips : 31968
Nyheder : 719565
Indlæg : 6408946
Brugere : 218888

Månedens bedste
Årets bedste
Sidste års bedste