Asimétrica enrutamiento y reglas de firewall PFSENSE


Enrutamiento asimétrico sucede cuando el tráfico entre dos nodos toma un camino diferente en cada dirección (por ejemplo, A-> B-> C, C-> D-> A), puede ser un problema para TCP que tiene el seguimiento estricto del Estado pero a menudo no se afectar a los protocolos  como ICMP o UDP.

Escenario Común

Lo que sucede en la mayoría de los casos es la siguiente:

  • El cliente envía un paquete TCP SYN, que llega a pfSense y obtiene una entrada de tabla de estado
  • pfSense devuelve una redirección ICMP dejar que el cliente sabe para llegar al servidor de destino a través de la puerta de entrada alternativo
  • Servidor envía un paquete TCP SYN + ACK por algún otro camino que pfSense no ve
  • El cliente envía su ACK y más respuestas vuelta por su otra puerta de enlace que no se ven por pfSense
  • Después de 30 segundos, pfSense elimina su entrada tabla de estado como la conexión nunca se completó según lo observado por pfSense
  • Algún tiempo después, ICMP de redireccionamiento aprendido ruta del cliente expira y el cliente envía otro paquete de nuevo a pfSense
  • Dado que este paquete no está iniciando una nueva conexión, el paquete se descarta, y el cliente se desconecta, ya que ahora no tiene forma de llegar al destino.

 

Fix automática

Las reglas de firewall bypass para el tráfico en la misma opción de interfaz situado en Sistema> Avanzado en el / pestaña NAT Firewall activa reglas para el tráfico hacia / desde las redes de rutas estáticas que son mucho más permisiva cuando se trata de la creación de los estados para el tráfico TCP y lo que le pasar. Las reglas permiten todos los paquetes TCP, independientemente de su pabellón, para crear un estado y también tienen el conjunto de tipo «estado descuidado» que realiza una menos estricto partido de Estado.

Fix Manual

Las mismas reglas se pueden crear manualmente añadiendo uno en la ficha interfaz afectada (por ejemplo, LAN), y una segunda regla en la ficha flotante utilizando la misma interfaz (LAN de nuevo) para que coincida con el tráfico en direcciónhacia fuera. La regla se debe establecer un protocolo de TCP, bajo banderas TCP comprobar cualquier Banderas, y el uso de un Estado Forma de gobierno descuidado. Las opciones para indicadores TCP y Tipo Estado se pueden encontrar en lascaracterísticas avanzadas de las reglas, en las opciones normales.

Asym_rule_advanced

En ocasiones estos problemas pueden ser causados ​​por otros factores que conducen al enrutamiento asimétrico, como problemas con la ruta o la respuesta a, ambos tienen que ver con puertas de enlace en la configuración de la interfaz.

Definición de pasarelas bajo Sistema> Enrutamiento no causa esto, sino más bien estos problemas pueden surgir cuando la puerta de entrada está configurado incorrectamente en las páginas de la interfaz, Interfaces> WAN, Interfaces> LAN, y así sucesivamente.

Puerta de enlace establece cuando no se debe establecer

Si una puerta de entrada se encuentra en una interfaz interna, tales como LAN, puede provocar un comportamiento problemático. Configuración de una puerta de entrada en una interfaz interna etiquetar reglas de salida de esa interfaz conroute-to, y reglas de entrada con paquetes de respuesta a lo que provocará que se remitirá a la puerta de entrada definido en lugar de seguir su camino natural. Para las WAN que suele ser una buena cosa! Para LANs no lo es. Entre otros efectos dañinos, puede conducir a un bucle de clases donde los paquetes rebotan entre el firewall y la puerta de enlace definido, con el tiempo se bloquea o se cayó cuando su TTL expira.

Gateway no establece cuando se debe establecer

Una puerta de enlace por lo general se debe establecer en una WAN u otros valores de la interfaz de tipo externo (MPLS, IP VPN, etc.) En estos casos el comportamiento de respuesta de ruta y al que se desea y es probable que requiera. Si no lo tiene los paquetes pueden ser bloqueados o se ha caído en su intento de salir de la interfaz equivocada. Un paquete podría entrar a través de la WAN alternativo, pero la respuesta sería salir por la puerta de enlace predeterminada. Al igual que el efecto observado cuando indebidamente utilizando un Grupo interfaz para interfaces WAN.

Facebook Comments

Acerca de Anibal

Ingeniero Industrial egresado en 2007, Viajero de corazón y trabajador de hobbie. Soy Instructor certificado de la Secretaria de Trabajo y Previsión Social. Mi frase, "Sin prisa pero sin pausa" y como viajero coincido en el hecho de "Viajar es la única cosa que puedes comprar, que te hace mas rico"