IT001

設備系統版本: Checkpoint4420 / R77.20

問題:

今天換上了新的防火牆chekcpoint之後，

網路連線一下子正常，一下子逾時，也不知道是否與自己的網路架構有關。

第一次連線可以正常傳輸。

第二次連線時SYN、ACK，最後SYN-ACK完全得不到。

外對內連線服務全部正常。

但造成所有內對外的服務全部異常。

關鍵字搜尋:

"TCP packet out of state: First packet isn't SYN; tcp_flags: SYN-ACK" drop log when SecureXL and Application Control / URL Filtering blade are enabled on Security Gateway in Bridge mode

在連線時發現，外面連進來都很正常，

但內部要向外發佈請求的時候都第一次正常，後面無法連線。

但過一陣子之後又可以回復到第一次正常，後面無法連線的狀態。

透過traceroute觀察到的route發現:

[root@localhost ~]# traceroute 168.95.1.1

traceroute to 168.95.1.1 (168.95.1.1), 30 hops max, 60 byte packets

1  ll-X-X-X-GW.ll. (X.X.X.GW)  4.773 ms  4.800 ms  4.832 ms

2  X.X.X.X (X.X.X.X)  4.924 ms  4.983 ms  5.001 ms

[root@ localhost ~]# traceroute 168.95.1.1

traceroute to 168.95.1.1 (168.95.1.1), 30 hops max, 60 byte packets

1.   ll-X-X-X-GW.ll. (X.X.X.GW)  0.594 ms  0.809 ms  0.962 ms

2  X.X.X.X (X.X.X.X)  1.418 ms  1.418 ms  1.439 ms

在第二筆Route的時候，只有第一次連線是正常的路由方式，

而其他都直接省略掉第二個路由位置，正常連線異常。

處理方式:

根據官網說明，大概是跟SecureXL的最佳化有關。

我們嘗試著關閉SecureXL試試看。

在R77.20版本時，已經將checkpoint複雜化的指令合併了。

只要透過cpconfig 就可以操作一些我們要的功能，例如關閉SecureXL。

Checkpoint4420> cpconfig

This program will let you re-configure

your Check Point products configuration.

下面會跳出選項，再依你的需求進行設定

Configuration Options:

----------------------

(1)  Licenses and contracts

(2)  Administrator

(3)  GUI Clients

(4)  SNMP Extension

(5)  PKCS#11 Token

(6)  Random Pool

(7)  Certificate Authority

(8)  Certificate's Fingerprint

(9)  Disable Check Point SecureXL

(10) Check Point CoreXL

(11) Automatic start of Check Point Products

(12) Exit

找到我們要的關閉SecureXL，在下方輸入代號 9

Enter your choice (1-12) :9

他會先去檢查你的服務是否有開啟

Disable Check Point SecureXL...

================================

SecureXL is currently enabled.

他說檢查到SecureXL目前正常運作中，你是否要關閉，輸入[Y]

Would you like to disable SecureXL (y/n) [y] ? y

接著他就會執行這項功能。

Disabling SecureXL for IPv4...

實驗結果:

經過把SecureXL關閉後，每次的路由方式都相同，不會再出現先前的異常狀況。

後記:

這邊的處理方式不一定是正確的做法，但剛好能夠解決我遇到的問題。

如果有這方面的問題，還是會比較建議去詢問一下原廠。

<本篇完>