設備系統版本: Checkpoint4420 / R77.20
問題:
今天換上了新的防火牆chekcpoint之後,
網路連線一下子正常,一下子逾時,也不知道是否與自己的網路架構有關。
第一次連線可以正常傳輸。
第二次連線時SYN、ACK,最後SYN-ACK完全得不到。
外對內連線服務全部正常。
但造成所有內對外的服務全部異常。
關鍵字搜尋:
"TCP packet out of state: First packet isn't SYN; tcp_flags: SYN-ACK" drop log when SecureXL and Application Control / URL Filtering blade are enabled on Security Gateway in Bridge mode
在連線時發現,外面連進來都很正常,
但內部要向外發佈請求的時候都第一次正常,後面無法連線。
但過一陣子之後又可以回復到第一次正常,後面無法連線的狀態。
透過traceroute觀察到的route發現:
[root@localhost ~]# traceroute 168.95.1.1
traceroute to 168.95.1.1 (168.95.1.1), 30 hops max, 60 byte packets
1 ll-X-X-X-GW.ll. (X.X.X.GW) 4.773 ms 4.800 ms 4.832 ms
2 X.X.X.X (X.X.X.X) 4.924 ms 4.983 ms 5.001 ms
[root@ localhost ~]# traceroute 168.95.1.1
traceroute to 168.95.1.1 (168.95.1.1), 30 hops max, 60 byte packets
1. ll-X-X-X-GW.ll. (X.X.X.GW) 0.594 ms 0.809 ms 0.962 ms
2 X.X.X.X (X.X.X.X) 1.418 ms 1.418 ms 1.439 ms
在第二筆Route的時候,只有第一次連線是正常的路由方式,
而其他都直接省略掉第二個路由位置,正常連線異常。
處理方式:
根據官網說明,大概是跟SecureXL的最佳化有關。
我們嘗試著關閉SecureXL試試看。
在R77.20版本時,已經將checkpoint複雜化的指令合併了。
只要透過cpconfig 就可以操作一些我們要的功能,例如關閉SecureXL。
Checkpoint4420> cpconfig
This program will let you re-configure
your Check Point products configuration.
下面會跳出選項,再依你的需求進行設定
Configuration Options:
----------------------
(1) Licenses and contracts
(2) Administrator
(3) GUI Clients
(4) SNMP Extension
(5) PKCS#11 Token
(6) Random Pool
(7) Certificate Authority
(8) Certificate's Fingerprint
(9) Disable Check Point SecureXL
(10) Check Point CoreXL
(11) Automatic start of Check Point Products
(12) Exit
找到我們要的關閉SecureXL,在下方輸入代號 9
Enter your choice (1-12) :9
他會先去檢查你的服務是否有開啟
Disable Check Point SecureXL...
================================
SecureXL is currently enabled.
他說檢查到SecureXL目前正常運作中,你是否要關閉,輸入[Y]
Would you like to disable SecureXL (y/n) [y] ? y
接著他就會執行這項功能。
Disabling SecureXL for IPv4...
實驗結果:
經過把SecureXL關閉後,每次的路由方式都相同,不會再出現先前的異常狀況。
後記:
這邊的處理方式不一定是正確的做法,但剛好能夠解決我遇到的問題。
如果有這方面的問題,還是會比較建議去詢問一下原廠。
<本篇完>