2008-09-11 09:32:39
Warning
CONN
600012
LogOpenFails
TCP
wan1
x.x.x.x 46467
my ip 24990
no_new_conn_for_this_packet
reject
protocol=tcp ipdatalen=20 ack=1

нашел в интернете описание на no_new_conn_for_this_packet:
State inspector would not open a new connection for this TCP packet
since the combination of TCP flags is wrong. Only packets with the
SYN TCP-flag set as the only TCP flag are allowed to open a new
TCP connection.

но не понимаю почему это начилось. порт для bittorent. ошибка практически каждую секунду, но при этом некоторые подключения устанавливаются.

Правила SAT и следом за ним Allow

Пожалуйста поподробнее о правилах. Пробовали вместо Allow ставить FastFwd?

И какой тайм-аут на соединения у вас выставлен в настройках? Стандартный надо снижать, очень сильно снижать.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

да пробовал менять на FastFwd тогда в логе превращается в обратное, как будто запросы идут от меня, но ошибка прежняя.

где можно подстроить таймаут?
Conn. Timeout Settings
TCP SYN Idle Lifetime:60 ?

System-Advanced Settings-Conn. Timeout Settings, там TCP Idle Lifetime

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Какие рекомендации?

Вместо трех суток сколько поставить? Меня в средненагруженной сети устраивает 4 часа. Но можно и 1 час.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.

Что-то я про минуты-секунды помню... Сергей, хелп ас! :)))

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

что-то не понятно, ставил и 4 часа и час, и ни какой разницы... ни чего не меняется...

Отключите динамическое управление соединениями в System -> Advanced Settings -> State Settings.

Затем в System -> Advanced Settings -> TCP Idle Lifetime: Ограничте 28800 (8 часов рабочий день можно еще меньше)

Если не помогает использовать правила forward fast, но учтите тогда обратного трафика придется создавать так же отельное правила, а возможно и два.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

1 неполучилось
2 форвардинг, я не совсем понял как создать правила
1.allow 24990 - any/allnets > core/wan1ip
2. FwdFast 24990 - any/allnets > core/wan1ip
3. FwdFast 24990 - wan1/wan1ip > lan/srv_ip

вобщем сам понимаю что гдето ошибка, но непойму...
в логах 6000060 LocalUndelivered


а обратное в этом случае NAT ?

подниму темку, чтоб поддержка заметила.
типа ап

http://ftp.dlink.ru/pub/FireWall/DFL-21 ... _v1.02.pdf Это раз. Во вторых приложите вашу схему в графическом виде.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

про расшифровку логов мне все понятно, не совсем понятно с правилами!



соответственно sat ссылается на внутренний айпи

Что именно не понятно?

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.

вот мои правила,

активные дают
no_new_conn_for_this_packet
reject

подключения проходят, но видимо не все.

неактивные дают 6000060 LocalUndelivered
подключения также проходят, но их еще меньше.

возможно у вас во вкладке sat установлена галочка, снимите её. Так же возможен конфликт с правилами расположенными выше этих 2х правил.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.