faq обучение настройка
Текущее время: Пт авг 29, 2025 10:59

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.
Автор Сообщение
 Заголовок сообщения: DFL-210 и no_new_conn_for_this_packet reject
СообщениеДобавлено: Вс ноя 16, 2008 06:15 
Не в сети

Зарегистрирован: Сб ноя 15, 2008 13:39
Сообщений: 10
Добрый день.

Все обыскал на форуме по этому вопросу, но реального решения так и не нашел. Все-таки, как убрать постоянно логирующиеся данные сообщения? Что является причиной их появления?

Конфигурация следующая (упростил как мог, только для того чтоб выяснить причину этих сообщений):
Одно правило:
Name: Allow_standart
Action: NAT
SI: lan
SN: lannet
DI: wan
DN: all-nets
Service: all_tcpudpicmp

Вот и вопрос, no_new_conn_for_this_packet reject прописывается в логах только при обращении по 80 порту, на остальные сервисы не "ругается" вообще. Вопрос. Где искать?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 09:51 
Не в сети

Зарегистрирован: Чт дек 07, 2006 15:42
Сообщений: 8502
Откуда: RareSoftware.ru
Служба all_tcpudp есть группа из all_tcp и all_udp, в которых прописано значение Max Sessions. У вас просто заканчиваются свободные сессии.

_________________
Хотите хороший девайс? D-Link DFL!

Хотите считать с него трафик?
http://www.raresoftware.ru/products/lan/dfltc

Изображение


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 09:55 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
danilovav писал(а):
Служба all_tcpudp есть группа из all_tcp и all_udp, в которых прописано значение Max Sessions. У вас просто заканчиваются свободные сессии.
Нет. Max Sessions: там используется только для ALG:. В Log Reference указано другое.

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Вс ноя 16, 2008 10:27 
Не в сети

Зарегистрирован: Сб ноя 15, 2008 13:39
Сообщений: 10
Совершенно верно прокоментировал YuriAM, атрибут "Max Sessions" в сервисах all_tcp и all_udp работает только для ALG, данную функцию я не активировал в принципе, да и к томуже ошибки no_new_conn_for_this_packet reject идут даже в том случае, когда с одной машины идут запросы, т.е. колличество сессий не привышает и 10 в принципе.

Какие будут ещё предположения о причинах появления данных сообщений?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 07:22 
Не в сети

Зарегистрирован: Сб ноя 15, 2008 13:39
Сообщений: 10
Значит кончились идеи? По какой причине могут появляться данные сообщения?


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 11:12 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
Maxim Evseev писал(а):
Значит кончились идеи? По какой причине могут появляться данные сообщения?

у мну в последнее время аналогичная ситуация, раньше проскакивали очень изредка эти no_new_conn, а с недавнего времени завернул на dlink proxy server - так теперь от них спасу нет... видимо всё-таки что-то с количеством соединений связанно, где именно их увеличивать пока не понял...

выглядит это примерно так: - идет пакет от прокси в и-нет, происходит reject по no_new_conn, затем сразу идет идентичный такой же пакет (повторый судя по всему), который пропускается...и так один за одним чередуются...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 11:42 
Не в сети

Зарегистрирован: Сб ноя 15, 2008 13:39
Сообщений: 10
Значит ситуация обретает следующие очертания, у Меня схема такая:

lan -- ISA 2004 -- DFL-210 -- DSL-504T -- ISP

т.е. у Меня также стоит proxy до DFL.... Зачем Мне это необходимо, опустим, Получается, такой вид ошибок генерируется только тогда, когда за ДФЛ-кой не сеть сразу, а ещё один маршрутизатор. Это подтверждается тем, что у Нас ещё 6 шт. DFL-210 работают в доп. офисах, так там сразу сеть за устройством, и таких ошибок не наблюдается.

Склоняюсь Я к тому, что надо проверить как настроено каждое из устройств, NAT или Routing.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 11:56 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
Maxim Evseev писал(а):
Значит ситуация обретает следующие очертания, у Меня схема такая:

lan -- ISA 2004 -- DFL-210 -- DSL-504T -- ISP

т.е. у Меня также стоит proxy до DFL.... Зачем Мне это необходимо, опустим, Получается, такой вид ошибок генерируется только тогда, когда за ДФЛ-кой не сеть сразу, а ещё один маршрутизатор. Это подтверждается тем, что у Нас ещё 6 шт. DFL-210 работают в доп. офисах, так там сразу сеть за устройством, и таких ошибок не наблюдается.

Склоняюсь Я к тому, что надо проверить как настроено каждое из устройств, NAT или Routing.

Так...
у меня ISA 2006 в 2х местах, на обоих DFL1600 ситуация схожая, оба регистрируют no_new_conn...., что-то тут не так...

p/s у меня схема, LAN сеть(10.x)- > (Lan ip ISA (10.x.x.1) ISA (wan ip isa 192.168.254.2), включен в один из лан DFL (192.168.254.1).
DFL так же включе включен в 10.x сеть одним из лан портов.


так что толи ISA как-то НАТит не так, толи генерит трафф "не корректно" для DFL...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Пн ноя 17, 2008 13:56 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
+1 аналогичные проблемы

к алг и прочему не имеют отношения,
где-то еще грабли есть
как на DFL-800, так DFL-860/1600 наблюдаем сию картину

предварительных прокси нет, 1600-й заворачиват трафик выбраных юзеров на 860-й,
а тот толкает его далее через нат

Ждем комментов саппорта


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 19, 2008 11:07 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
up...


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 19, 2008 11:26 
Не в сети

Зарегистрирован: Чт янв 10, 2008 18:21
Сообщений: 337
тут вот еще
viewtopic.php?t=62698&start=0&postdays=0&postorder=asc&highlight=


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Ср ноя 19, 2008 12:05 
Не в сети
Сотрудник D-LINK
Сотрудник D-LINK

Зарегистрирован: Ср июл 04, 2007 13:48
Сообщений: 7031
Откуда: D-Link. Moscow
Пакет идет без флага начала соединения, возможно это происходит при попытки заного открыть используемое подключения. попробуйте включить в стэке разрешить открывать закрытые соединения.

_________________
Сообщения в PM игнорируются, задавайте вопросы на форуме.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 12:35 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
Sergey Vasiliev писал(а):
Пакет идет без флага начала соединения, возможно это происходит при попытки заного открыть используемое подключения. попробуйте включить в стэке разрешить открывать закрытые соединения.

Спасибо, включил - "будем посмотреть"... =)

p/s раньше почему-то не видел этой галочки =(


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 12:56 
Не в сети

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург
Cranium писал(а):
Sergey Vasiliev писал(а):
Пакет идет без флага начала соединения, возможно это происходит при попытки заного открыть используемое подключения. попробуйте включить в стэке разрешить открывать закрытые соединения.

Спасибо, включил - "будем посмотреть"... =)

p/s раньше почему-то не видел этой галочки =(
Скажите точнее, пожалуйста, что за галка?

_________________
6 x DFL-210, 2 x DFL-800. Для DFL-210/260/800/860 лучшая прошивка 2.27.08.03 (for WW). СКАЧАТЬ.
Совет: Не используйте в IP- и Routing-правилах сочетание any/all-nets нигде, кроме временных правил. Иначе возможны бреши в безопасности и несрабатывание последующих правил.


Вернуться наверх
 Профиль  
 
 Заголовок сообщения:
СообщениеДобавлено: Чт ноя 20, 2008 13:33 
Не в сети

Зарегистрирован: Чт янв 17, 2008 16:37
Сообщений: 478
YuriAM писал(а):
Cranium писал(а):
Sergey Vasiliev писал(а):
Пакет идет без флага начала соединения, возможно это происходит при попытки заного открыть используемое подключения. попробуйте включить в стэке разрешить открывать закрытые соединения.

Спасибо, включил - "будем посмотреть"... =)

p/s раньше почему-то не видел этой галочки =(
Скажите точнее, пожалуйста, что за галка?

Advance Settings -> TCP - > "Allow TCP Reopen: Allow clients to re-open TCP connections that are in the closed state. "
- в самом, самом низу.


Вернуться наверх
 Профиль  
 
Показать сообщения за:  Сортировать по:  
Начать новую тему Ответить на тему  [ Сообщений: 21 ]  На страницу 1, 2  След.

Часовой пояс: UTC + 3 часа


Кто сейчас на форуме

Сейчас этот форум просматривают: Bing [Bot] и гости: 39


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Русская поддержка phpBB