Ein Nicht-SYN-Paket

13/11/2007 - 12:43 von Trendel Thomas | Report spam
Hallo,

hat hier jemand einen Lösungsvorschlag??

Haben das Problem, das von einem Visnetic Mailserver nicht alle Mails durch
den ISA-Server gehen (Version 4.0.2161.50), die nach Intern an einen
Exchange 2003 Server gehen sollen.
ISA-Server ist als Backend-Firewall Konfiguriert, als Frondend-Fiewall steht
eine CheckPoint davor. Der Mailsever steht in einer DMZ von der Check Point.

Es werden nicht alle Mails geblockt, sondern nur bestimmte Mails. Die Mails
sind Exeption-Mails von einer Anwendung heraus.

Als Medlung bekomme ich im ISA-Server:

Status: Ein Nicht-SYN-Paket wurde verworfen, weil es von einer Quelle
versandt wurde, die über keine vorhandene Verbindung mit dem ISA
Server-Computer verfügt.

Nur das komische ist wird von dem System aus ein Telnet mit port 25 auf den
Exchange Server geamacht ghet alles ohne Problem.

Hier noch ein Paar Log auszüge:

Client-Agent Authentifizierter Client Dienst Servername Verweisender
Server Zielhostname Transport MIME-Typ Objektquelle Quellproxy Zielproxy Bidirektional Clienthostname Filterinformationen Netzwerkschnittstelle Rohnutzlast Quellport Verarbeitungszeit Bytes
gesendet Bytes
empfangen Ergebniscode HTTP-Statuscode Cacheinformationen Protokolldatensatztyp Protokollierungszeit Ziel-IP Zielport Protokoll Aktion Regel Client-IP Clientbenutzername Quellnetzwerk Zielnetzwerk HTTP-Methode URL Ursprüngliches
Client-IP Roh-IP-Header Fehlerinformationen
- SVISAF01 - TCP - - - - - 2955 0 0 0 0x0 0x0 Firewall 13.11.2007
08:18:07 192.168.5.250 25 SMTP Initiierte Verbindung IRZ_T-Systems -->
Intern 192.168.73.32 - DMZ 221 CheckPoint <-->
ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 1687 1646707 22600 0x80074e21
FWX_E_ABORTIVE_SHUTDOWN 0x0 Firewall 13.11.2007
08:18:09 192.168.5.250 25 SMTP Getrennte Verbindung IRZ_T-Systems -->
Intern 192.168.73.32 - DMZ 221 CheckPoint <-->
ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 0 0 0 0xc0040017
FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007
08:18:11 192.168.5.250 25 SMTP Verweigerte Verbindung - 192.168.73.32 - DMZ
221 CheckPoint <--> ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 0 0 0 0xc0040017
FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007
08:18:11 192.168.5.250 25 SMTP Verweigerte Verbindung - 192.168.73.32 - DMZ
221 CheckPoint <--> ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 0 0 0 0xc0040017
FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007
08:18:11 192.168.5.250 25 SMTP Verweigerte Verbindung - 192.168.73.32 - DMZ
221 CheckPoint <--> ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 0 0 0 0xc0040017
FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007
08:18:11 192.168.5.250 25 SMTP Verweigerte Verbindung - 192.168.73.32 - DMZ
221 CheckPoint <--> ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 0 0 0 0xc0040017
FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007
08:18:11 192.168.5.250 25 SMTP Verweigerte Verbindung - 192.168.73.32 - DMZ
221 CheckPoint <--> ISA2004 Intern 192.168.73.32 - 0x0
- SVISAF01 - TCP - - - - - 2955 0 0 0 0xc0040017
FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007
08:18:11 192.168.5.250 25 SMTP Verweigerte Verbindung - 192.168.73.32 - DMZ
221 CheckPoint <--> ISA2004 Intern 192.168.73.32 - 0x0

Bin für jede Hilfe dankbar:
 

Lesen sie die antworten

#1 Jens Baier
13/11/2007 - 14:18 | Warnen spam
Hi,

FWX_E_TCP_NOT_SYN_PACKET_DROPPED 0x0 Firewall 13.11.2007



Es mann sich auch um sogenannte "Delayed Packets" oder "Impatient
Applications handeln Deleyed Packets treten dann auf, wenn ein Webserver
Anfragen zum Beispiel nur sehr langsam beantworten kann. ISA nimmt an, dass
die Verbindung durch einen Timeout beendet wurde, in Wirklichkeit gibt der
Webserver aber noch einen Response welchen ISA dann aber als Port Scan oder
Intrusion interpretiert. Impatient Applications tauchen dann auf, wenn ein
Client eine Verbindung zu einem Webserver aufbaut und sofort wieder
schliesst (durch schliessen des Browsers z. B.). ISA sendet diese "Close
Session" an den Webserver, dieser hat aber schon auf die Anfrage desClients
geantwortet und làuft nun wieder am ISA mit einem Portscan / Intrusion auf,
da ISA die Verbindung ja nicht mehr kennt Mehr hier:
http://www.microsoft.com/technet/co...t1205.mspx

Gruss Jens
www.nt-.faq.de

Ähnliche fragen