TCP Reassembly によるパケットのドロップ

Printer Friendly Page

※この記事は以下の記事の日本語訳です。
Packets are Dropped Due to TCP Reassembly
https://live.paloaltonetworks.com/t5/Management-Articles/Packets-are-Dropped-Due-to-TCP-Reassembly/t...

 

事象

TCP Reassembly によりパケットがドロップされている。

 

原因

本事象は通常はネットワークに非対称ルーティングがある場合に発生します。例えば、SYN パケットが Palo Alto Networks ファイアウォールを通過したが SYN-ACK がファイアウォールを通過せず、ファイアウォールが ACK を受信した場合です。ファイアウォールは TCP Reassembly の失敗によりそのパケットをドロップします。

 

確認するためには、パケット キャプチャを実行し Global カウンタをチェックします。パケット キャプチャの詳細情報については、次のドキュメントを参照してください: Using Packet Filtering through GUI with PAN-OS 4.1

reassembly-global.PNG

 

以下に示すように、カウンタでは、パケットが TCP Reassembly によりドロップされていることを確認します。キャプチャでは、SYN パケットと ACK パケットを受信しており、SYN ACK を受信していないことを確認します:

receive-reassembly.PNG

 

解決策

次のコマンドを使用して、グローバルに非対称ルーティングをバイパスするようファイアウォールを設定します。

> configure

# set deviceconfig setting tcp asymmetric-path bypass

# commit

 

この変更は次のコマンドを使用して元に戻すことができます:

> configure

# delete deviceconfig setting tcp asymmetric-path

# commit

 

非対称トラフィックに関する現在のアクションをチェックするためには次のコマンドを使用します:

> show running tcp state | match asymmetric

session with asymmetric path            : drop packet

 

代替手段として、Zone Protection Profile を作成することにより、非対称ルーティングのバイパスを、特定の宛先 Zone へのトラフィックのみに制限することができます。

  1. Network > Zone Protection Profile へ移動します。
  2. 新規に Profile を追加し、名前を付けます。
  3. Packet Based Attack Protection タブへ移動し、プルダウン メニューから次を選択します:
    Reject Non-SYN TCP: No
    Asymmetric Path: Bypass
    Screen Shot 2014-11-14 at 12.03.49 PM.png
  4. 目的の宛先 Zone へ移動し、Zone Protection Profile を割り当てます。Screen Shot 2014-11-14 at 12.04.27 PM.png
  5. 変更をコミットします。

注: トラフィックが 2 つの Security Zone に及ぶ場合は、Zone Protection Profile は宛先 Zone に合わせます。非対称トラフィックの必要性に応じて、一方の Zone または両方の Zone に適用します。トラフィックの発生が一方向の場合は宛先 Zone にのみ適用し、両方向の場合は両方の Zone に適用します。

 

著者: ashaikh