Здравствуйте
10.0.0.0/24-ISA-DFL200-213.187.x.x
правила на DFL200
LAN->WAN Policy
Name Action Source Destination Service Move
#1 drop_smb-all Drop Any Any smb-all [Edit]
#2 HTTP_all Allow Any Any http-in-all [Edit]
#3 POP3 Allow Any Any TCP All -> 110 [Edit]
#4 smtp Allow Any Any smtp [Edit]
#5 allow_ping-outbound Allow Any Any ping-outbound [Edit]
#6 allow_ftp-passthrough Allow Any Any ftp-passthrough [Edit]
#7 ntp Allow Any Any ntp [Edit]
#8 ICQ Allow Any Any TCP All -> 5190 [Edit]
#9 PPTP Allow Any Any pptp-suite [Edit]
#10 drop_standard Drop Any Any All Protocols [Edit]

проблема следующая
при соединении с внешним почтовым сервером через POP3 несколько раз за короткий промежуток времени, то на 3-4 раз появляется таймаут и приходится какое-то время выжидать

кусок лога на DFL200

[2005-12-22 11:22:56] <6>EFW: CONN: prio=1 rule=POP3 conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.1.20 connsrcport=17920 conndestif=WAN conndestip=193.124.133.208 conndestport=110 origsent=571 termsent=691


[2005-12-22 11:22:38] <6>EFW: CONN: prio=1 rule=POP3 conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.1.20 connsrcport=17912 conndestif=WAN conndestip=194.67.23.102 conndestport=110 origsent=367 termsent=635


[2005-12-22 11:22:34] <6>EFW: CONN: prio=1 rule=POP3 conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.1.20 connsrcport=17910 conndestif=WAN conndestip=194.67.23.102 conndestport=110 origsent=367 termsent=475


[2005-12-22 11:22:28] <6>EFW: CONN: prio=1 rule=POP3 conn=close connipproto=TCP connrecvif=LAN connsrcip=192.168.1.20 connsrcport=17908 conndestif=WAN conndestip=194.67.23.102 conndestport=110 origsent=367 termsent=475

[2005-12-22 11:22:27] <5>EFW: DROP: rule=LogStateViolations event=unexpected_tcp_flags flags="SYN" endpoint=originator state=FIN_RCVD connipproto=TCP connrecvif=LAN connsrcip=192.168.1.20 connsrcport=17922 conndestif=WAN conndestip=193.124.133.208 conndestport=110 origsent=571 termsent=691 recvif=LAN srcip=213.187.X.X destip=193.124.133.208 ipproto=TCP ipdatalen=28 srcport=5115 destport=110 tcphdrlen=28 syn=1

пожалуйста проясните в чем дело
без DFL все работает прекрасно и никаких сбоев нет
заранее благодарен

P.S. непонятно, что за правило такое LogStateViolations

Просто вы открываете новое соединение пока старое еще не закрыто.

_________________
С уважением -- Александр Шебаронин.

Александр, подскажите пожалуйста каким образом настроить файервол, чтобы повысить скорость обработки запросов на POP3.

Это не настраивается. Соединение закрывается как только будет получен флаг TCP FIN для этого соединения.

_________________
С уважением -- Александр Шебаронин.

Александр, уточните пожалуйста, что выдает флаг TCP FIN, файервол или непосредственно сервер,с которого получается почта.

Это не вопрос D-Link'a, это основы TCP.
Этот (но он не один) флаг первой посылает та из сторон, которая решает закрыть соединение.
http://book.itep.ru/4/44/tcp_443.htm

Спасибо, все верно как всегда

_________________
С уважением -- Александр Шебаронин.

Объясните тогда почему же без DFL все работает, а с ним нет.

Проблема стабильная? Повторяема? Постоянно или с вероятностью?
Смотрите трафик, желательно на обоих портах (WAN и LAN) сразу. При этом снимать логи и смотреть инф. о сессиях в фаерволе.
Странно вот что:
[2005-12-22 11:22:56] connsrcport=17920
[2005-12-22 11:22:27] connsrcport=17922
У Вас действительно такие длинные сессии - (56 минус 27) = 29 секунд? Или это и есть задержка вызванная непонятностью с фаерволом?

Может где-то пакеты бъются/теряются и его клинит?

схема сети такая:

Интернет-DFL200-ISA сервер-локальная сеть

Если из схемы убрать либо DFL200 либо ISA сервер то проблема с timeout на pop3 сразу же пропадает. Похоже получается какая то несогласованность между DFL200и ISA сервером

Может есть какие то рекомендации по настройкам в данной ситуации?

Есть подозрение что винда не пропускает FIN-пакет... Почему -- только сниф поможет разобраться, с обоих сторон.

_________________
С уважением -- Александр Шебаронин.