クラウドおよびシステム管理 : Cisco PIX 500 シリーズ セキュリティ アプライアンス

PIX/ASA 7.X の問題: MSS 超過 - HTTP クライアントが一部の Web サイトをブラウズできない

2016 年 10 月 27 日 - 機械翻訳について
その他のバージョン: PDFpdf | ライター翻訳版 (2008 年 5 月 29 日) | 英語版 (2015 年 8 月 22 日) | フィードバック


目次


概要

この資料はいくつかの Webサイトが PIX によってアクセスが不可能なか、またはその適応性があるセキュリティ アプライアンス モデル(ASA)が 7.0 またはそれ以降コードを実行するとき問題を提起します。 リリース 7.0 ではいくつかのセキュリティ機能拡張が加えられました。その機能拡張の 1 つである TCP エンドポイントの確認では、通知された Maximum Segment Size(MSS; 最大セグメント サイズ)が遵守されます。 通常の TCP セッションでは、クライアントがサーバに SYN パケットを送信する際に、SYN パケットの TCP オプションには MSS が含まれます。 サーバは SYN パケットを受信すると、クライアントから送信された MSS 値を認識し、自身の MSS 値を SYN-ACK パケットで送信します。 クライアントとサーバの両方が互いの MSS を認識すると、いずれのピアもそのピアの MSS よりも大きなパケットを他方に送信しません。 インターネット上にはクライアントがアドバタイズする MSS を受け付けない HTTP サーバがあることが判明しています。 その後、HTTP サーバはアドバタイズされた MSS を超えるデータ パケットをクライアントに送信します。 リリース 7.0 以前は、これらのパケットは PIX セキュリティ アプライアンスの通過を許可されていました。 7.0 ソフトウェア リリースではセキュリティの機能拡張により、デフォルトではこのようなパケットは廃棄されます。 このドキュメントでは、この問題の診断と MSS を超えるパケットを許可するための回避策の実装に役立つ、PIX/ASA セキュリティ アプライアンス管理者向けの情報を示します。

ASA 8.3 問題を参照して下さい: 超過する MSS - HTTP クライアントはバージョン 8.3 および それ 以降が付いている Cisco ASA を持つ適応性がある Security Device Manager (ASDM)を使用して同一の構成に関する詳細についてはいくつかの Webサイトに参照できません

前提条件

要件

このドキュメントに関する固有の要件はありません。

使用するコンポーネント

このドキュメントの情報は、7.0.1 ソフトウェアが稼働する Cisco PIX 525 セキュリティ アプライアンスに基づくものです。

このドキュメントの情報は、特定のラボ環境にあるデバイスに基づいて作成されたものです。 このドキュメントで使用するすべてのデバイスは、クリアな(デフォルト)設定で作業を開始しています。 ネットワークが稼働中の場合は、コマンドが及ぼす潜在的な影響を十分に理解しておく必要があります。

関連製品

このドキュメントは、次のバージョンのハードウェアとソフトウェアにも適用できます。

  • リリース 7.0 が稼働する、その他すべての Cisco PIX セキュリティ アプライアンス プラットフォーム。 515、515E、および 535 などのプラットフォームが含まれます。

  • すべての Cisco ASA プラットフォーム。 5510、5520、および 5540 などのプラットフォームが含まれます。

表記法

ドキュメント表記の詳細は、『シスコ テクニカル ティップスの表記法』を参照してください。

設定

このセクションでは、このドキュメントで説明する機能を設定するために必要な情報について記載しています。

このドキュメントで使用されているコマンドの詳細を調べるには、Command Lookup Tool登録ユーザ専用)を使用してください。

ネットワーク図

このドキュメントでは、次のネットワーク構成を使用しています。

/image/gif/paws/65436/pix-asa-70-browse-1.gif

PIX セキュリティ アプライアンス 7.0 の設定

PIX 7.0 のデフォルト設定には次のコンフィギュレーションコマンドが追加されており、HTTP クライアントと HTTP サーバの通信を許可しています。

PIX 7.0.1 の設定
pixfirewall(config)#interface Ethernet0
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif outside
pixfirewall(config-if)#security-level 0
pixfirewall(config-if)#ip address 192.168.9.30 255.255.255.0
pixfirewall(config-if)#exit 
pixfirewall(config)#interface Ethernet1
pixfirewall(config-if)#speed 100
pixfirewall(config-if)#duplex full
pixfirewall(config-if)#nameif inside
pixfirewall(config-if)#security-level 100
pixfirewall(config-if)#ip address 10.0.0.1 255.255.255.0 
pixfirewall(config-if)#exit 
pixfirewall(config)#global (outside) 1 interface
pixfirewall(config)#nat (inside) 1 10.0.0.0 255.0.0.0
pixfirewall(config)#route outside 0.0.0.0 0.0.0.0 192.168.9.2 1

トラブルシューティング

特定の Webサイトが PIX/ASA セキュリティ アプライアンス モデルを通してアクセスが不可能である場合、解決するためにこれらのステップを完了して下さい。 最初に、HTTP 接続のパケットをキャプチャします。 パケットを収集するには、HTTP サーバとクライアントの関連 IP アドレス、および PIX セキュリティ アプライアンス通過時のクライアントの変換後の IP アドレスを確認する必要があります。 この例のネットワークでは、HTTP サーバのアドレスが 192.168.9.2、HTTP クライアントのアドレスが 10.0.0.2 で、パケットが外部インターネットから送出される際 HTTP クライアントのアドレスが 192.168.9.30 に変換されています。 PIX/ASA セキュリティ アプライアンスのキャプチャ機能を使用してパケットを収集することもできますが、外部のパケット キャプチャを使用しても構いません。 キャプチャ機能を使用する場合、管理者はリリース 7.0 に含まれている新しいキャプチャ機能も使用できます。この機能では、TCP の異常により廃棄されたパケットもキャプチャできます。

次の表内のコマンドの中には、スペースの関係上 2 行にわたって表記されているものがあります。

  1. 外部インターフェイスと内部インターフェイスで入出力されるパケットを識別する、アクセス リストのペアを定義します。

    パケット キャプチャのためのアクセス リストの設定
    pixfirewall(config)#access-list capture-list-in line 1 permitip host 10.0.0.2 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-in line 2 permit ip host 192.168.9.2 host 10.0.0.2 
    
    pixfirewall(config)#access-list capture-list-out line 1 permit ip host 192.168.9.30 host 192.168.9.2  
    
    pixfirewall(config)#access-list capture-list-out line 2 permit ip host 192.168.9.2 host 192.168.9.30
    

  2. 内部インターフェイスと外部インターフェイスでキャプチャ機能を有効にします。 TCP 特有の MSS 超過パケットのキャプチャも有効にします。

    パケット キャプチャのためのキャプチャ設定
    pixfirewall(config)#capture capture-outside access-list capture-list-out packet-length 1518 interface outside
    
    pixfirewall(config)#capture capture-inside access-list capture-list-in packet-length 1518 interface inside
    
    pixfirewall(config)#capture mss-capture type asp-drop tcp-mss-exceeded packet-length 1518
    

  3. PIX セキュリティ アプライアンスで Accelerated Security Path(ASP; 高速セキュリティ パス)関連のカウンタを消去します。

    ASP 廃棄統計情報の消去
    pixfirewall(config)#clear asp drop
    

  4. ネットワーク上のホストに送信されるデバッグ レベルのトラップ syslog を有効にします。

    トラップ ロギングの有効化
    pixfirewall(config)#logging on
    pixfirewall(config)#logging host inside 10.0.0.2
    pixfirewall(config)#logging trap debug
    

  5. HTTP クライアントから、問題のある HTTP サーバとの HTTP セッションを開始します。

    接続が失敗した後これらのコマンドから syslog 出力および出力を集めて下さい。

    • show capture capture-inside

    • show capture capture-outside

    • show capture mss-capture

    • show asp drop

    接続に失敗したときの Syslog
    %PIX-6-609001: Built local-host inside:10.0.0.2
    %PIX-6-609001: Built local-host outside:192.168.9.2
    %PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58565 to 
    outside:192.168.9.30/1024
    %PIX-6-302013: Built outbound TCP connection 3 for outside:192.168.9.2/80 
    (192.168.9.2/80) to inside:10.0.0.2/58565 (192.168.9.30/1024)
    %PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/
     
    
    !--- Under normal circumstances, you expect 
    !--- to see the TCP connection torn down immediately 
    !--- after the retrieval of the web content from 
    !--- the HTTP server.  When the problem occurs, the 
    !--- data packets from the HTTP server are dropped on 
    !--- the outside interface and the connection  
    !--- remains until either side resets the connection 
    !--  or the PIX Security Appliance connection idle 
    !--- timer expires.  Therefore, you do not immediately
    !--- see the 302014 syslog message (TCP teardown).
    
     
    
     
    
    !--- In PIX release 7.0.2 and later, the PIX 
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format: 
    
    
    %PIX-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440
    
    
    
    
    !--- In ASA release 7.0.2 and later, the ASA
    !--- Security Appliance issues a syslog when it receives
    !--- a packet that exceeds the advertised MSS.  The syslog, 
    !--- which defaults to warning level, has this format:
    
    
    %ASA-4-419001: Dropping TCP packet from outside:192.168.9.2/80 to 
    inside:192.168.9.30/1025, reason: MSS exceeded, MSS 460, data 1440

    このエラー メッセージについては、「システム ログ メッセージ 419001」(英語)を参照してください。

    接続に失敗したときの show コマンドの出力
    pixfirewall#show capture capture-inside
    6 packets captured
       1: 08:59:59.362301 10.0.0.2.58565 > 192.168.9.2.80: 
          S 3965932251:3965932251(0) win 1840 < mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552156 192.168.9.2.80 > 10.0.0.2.58565: 
          S 1460644203:1460644203(0) ack 3965932252 win 8192 <mss 1380>
       3: 08:59:59.552354 10.0.0.2.58565 > 192.168.9.2.80: . ack 1460644204 win 1840
       4: 08:59:59.552629 10.0.0.2.58565 > 192.168.9.2.80: 
          P 3965932252:3965932351(99) ack 1460644204 win 1840
       5: 08:59:59.725960 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 8192
       6: 08:59:59.726189 192.168.9.2.80 > 10.0.0.2.58565: . ack 3965932351 win 65340
    6 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show capture capture-outside
    16 packets captured
       1: 08:59:59.362636 192.168.9.30.1024 > 192.168.9.2.80: 
          S 473738107:473738107(0) win 1840 <mss 460,sackOK,timestamp 
          110211948 0,nop,wscale 0>
     
    
    !--- The advertised MSS of the client is 460 in packet #1.
    
     
       2: 08:59:59.552110 192.168.9.2.80 > 192.168.9.30.1024: 
          S 314834194:314834194(0) ack 473738108 win 8192 <mss 1460>
       3: 08:59:59.552370 192.168.9.30.1024 > 192.168.9.2.80: . ack 314834195 win 1840
       4: 08:59:59.552675 192.168.9.30.1024 > 192.168.9.2.80: 
          P 473738108:473738207(99) ack 314834195 win 1840
       5: 08:59:59.725945 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 8192
       6: 08:59:59.726173 192.168.9.2.80 > 192.168.9.30.1024: . ack 473738207 win 65340
     
    
    !--- In packets 7 through 14, the length of the packet exceeds 460.
    !--- Packets 7 through 14 are not observed on the capture-inside trace.
    !--- This means that they were dropped by the PIX Security Appliance.
    !--- Packets 7 through 14 are also represented in the output of the 
    !--- show capture mss-capture command.
    
     
       7: 08:59:59.734199 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       8: 08:59:59.742072 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       9: 08:59:59.757986 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
      10: 08:59:59.765661 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
      11: 08:59:59.771276 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
      12: 09:00:02.377604 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      13: 09:00:07.452643 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      14: 09:00:17.680049 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
      15: 09:00:29.670680 192.168.9.2.80 > 192.168.9.30.1024: 
          F 314841035:314841035(0) ack 473738207 win 65340
      16: 09:00:29.670711 192.168.9.30.1024 > 192.168.9.2.80: 
          P ack 314834195 win 1840
    16 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall(config)#show capture mss-capture
    8 packets captured
       1: 08:59:59.734214 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314834195:314835647(1452) ack 473738207 win 65340
       2: 08:59:59.742086 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314835647:314837099(1452) ack 473738207 win 65340
       3: 08:59:59.758000 192.168.9.2.80 > 192.168.9.30.1024: 
          . 314837099:314838551(1452) ack 473738207 win 65340
       4: 08:59:59.765673 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314838551:314840003(1452) ack 473738207 win 65340
       5: 08:59:59.771291 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314840003:314841035(1032) ack 473738207 win 65340
       6: 09:00:02.377619 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       7: 09:00:07.452658 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
       8: 09:00:17.680063 192.168.9.2.80 > 192.168.9.30.1024: 
          P 314834195:314835647(1452) ack 473738207 win 65340
    8 packets shown
    pixfirewall# 
    pixfirewall# 
    pixfirewall#show asp drop
     
    Frame drop:
      TCP MSS was too large 8
     
    Flow drop:
    pixfirewall#
     
    
    !--- The show asp drop command reports 
    !--- that eight packets were dropped because the
    !--- TCP MSS is to large. This corroborates the information derived from
    !--- the packet captures.
    
    

回避策

PIX/ASA セキュリティ アプライアンスがクライアントから通知された MSS 値を超過するパケットを廃棄していることがわかったので、回避策を実装します。 クライアント側でバッファ オーバーフローが発生する可能性があるため、このようなパケットはクライアントに到達させないほうがよい場合もあります。 その点を考慮したうえで、PIX/ASA セキュリティ アプライアンスでこれらのパケットを通過させるには、次の回避策を実施します。 リリース 7.0 の新機能である Modular Policy Framework(MPF)を使用すると、PIX セキュリティ アプライアンスでこれらのパケットを通過させることができます。 このドキュメントでは MPF については詳しく説明しませんが、この問題を回避するために使用する設定エンティティを提示します。 MPF およびこのセクションに記載されているコマンドの詳細については、『PIX 7.0 コンフィギュレーション ガイド』および『PIX 7.0 コマンド リファレンス』を参照してください。

回避策には、アクセス リストによる HTTP クライアントと HTTP サーバの識別が含まれます。 アクセス リストが定義されると、クラスマップが作成され、そのクラスマップにアクセス リストが割り当てられます。 次に、tcp マップが設定され、MSS を超えるパケットを許可するオプションが有効にされます。 tcp マップとクラスマップが定義されると、それらのマップを新規または既存のポリシーマップに追加できます。 次にポリシーマップがセキュリティポリシーに割り当てられます。 の/グローバルに ポリシーマップをインターフェイス アクティブにするコンフィギュレーションモードで service-policy コマンドを使用して下さい。 これらの設定パラメータが PIX 7.0 の設定リストに追加されます。 この設定例では、http-map1 という名前のポリシーマップの作成後、そのポリシーマップにクラスマップが追加されています。

特定のインターフェイス: MSS を超過するパケットを許可するための MPF の設定
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match access-list http-list2    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 interface outside
pixfirewall#

設定パラメータが追加されると、クライアントから通知された MSS を超過する 192.168.9.2 からのパケットが PIX セキュリティ アプライアンスの通過を許可されます。 クラスマップで使用されたアクセス リストは、192.168.9.2 へのアウトバウンド トラフィックを識別するためのものである点に注意してください。 アウトバウンド トラフィックが検査され、インスペクション エンジンが発信 SYN パケットから MSS を抽出します。 そのため、SYN パケットの方向でアクセス リストを設定することが必須です。 より広範囲な規則が必要な場合は、このセクションにアクセス リスト文を、すべてを許可するアクセス リスト(access-list http-list2 permit ip any any や access-list http-list2 permit tcp any any など)に置き換えます。 VPN トンネルの通信が遅くなる可能性があるので注意してください。 TCP MSS を低くすると通信効率を上げることができます。

この例は ASA/PIX のグローバルに 着信/発信 トラフィックの設定を助けます:

グローバル設定: MSS を超過するパケットを許可するための MPF の設定
pixfirewall(config)#access-list http-list2 permit tcp any host 192.168.9.2
pixfirewall(config)#
pixfirewall#configure terminal
pixfirewall(config)# 
pixfirewall(config)#class-map http-map1
pixfirewall(config-cmap)#match any    
pixfirewall(config-cmap)#exit
pixfirewall(config)#tcp-map mss-map
pixfirewall(config-tcp-map)#exceed-mss allow
pixfirewall(config-tcp-map)#exit
pixfirewall(config)#policy-map http-map1
pixfirewall(config-pmap)#class http-map1
pixfirewall(config-pmap-c)#set connection advanced-options mss-map
pixfirewall(config-pmap-c)#exit
pixfirewall(config-pmap)#exit
pixfirewall(config)#service-policy http-map1 global
pixfirewall#

確認

このセクションでは、設定が正常に動作しているかどうかを確認する際に役立つ情報を示しています。

トラブルシューティング」のセクションの手順を繰り返し、設定変更により期待した結果が得られたかどうかを確認します。

接続に成功したときの Syslog
%PIX-6-609001: Built local-host inside:10.0.0.2
%PIX-6-609001: Built local-host outside:192.168.9.2
%PIX-6-305011: Built dynamic TCP translation from inside:10.0.0.2/58798 
               to outside:192.168.9.30/1025
%PIX-6-302013: Built outbound TCP connection 13 for outside:192.168.9.2/80 
               (192.168.9.2/80) to inside:10.0.0.2/58798 (192.168.9.30/1025)
%PIX-5-304001: 10.0.0.2 Accessed URL 192.168.9.2:/

%PIX-6-302014: Teardown TCP connection 13 for outside:192.168.9.2/80 to 
               inside:10.0.0.2/58798 duration 0:00:01 bytes 6938 TCP FINs
 

!--- The connection is built and immediately torn down
!--- when the web content is retrieved.

接続に成功したときの show コマンドの出力
pixfirewall# 
pixfirewall#show capture capture-inside
21 packets captured
   1: 09:16:50.972392 10.0.0.2.58769 > 192.168.9.2.80: S 751781751:751781751(0) 
   win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
 

!--- The advertised MSS of the client is 460 in packet #1.
!--- However, with the workaround in place, packets 7, 9, 11, 13,
!--- and 15 appear on the inside trace, despite the MSS>460.

 
   2: 09:16:51.098536 192.168.9.2.80 > 10.0.0.2.58769: S 1305880751:1305880751(0) ack 751781752 win 8192 <mss 1380>
   3: 09:16:51.098734 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305880752 win 1840
   4: 09:16:51.099009 10.0.0.2.58769 > 192.168.9.2.80: P 751781752:751781851(99) ack 1305880752 win 1840
   5: 09:16:51.228412 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 8192
   6: 09:16:51.228641 192.168.9.2.80 > 10.0.0.2.58769: . ack 751781851 win 25840
   7: 09:16:51.236254 192.168.9.2.80 > 10.0.0.2.58769: . 1305880752:1305882112(1360) ack 751781851 win 25840
   8: 09:16:51.237704 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305882112 win 4080
   9: 09:16:51.243593 192.168.9.2.80 > 10.0.0.2.58769: P 1305882112:1305883472(1360) ack 751781851 win 25840
  10: 09:16:51.243990 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305883472 win 6800
  11: 09:16:51.251009 192.168.9.2.80 > 10.0.0.2.58769: . 1305883472:1305884832(1360) ack 751781851 win 25840
  12: 09:16:51.252428 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305884832 win 9520
  13: 09:16:51.258440 192.168.9.2.80 > 10.0.0.2.58769: P 1305884832:1305886192(1360) ack 751781851 win 25840
  14: 09:16:51.258806 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305886192 win 12240
  15: 09:16:51.266130 192.168.9.2.80 > 10.0.0.2.58769: . 1305886192:1305887552(1360) ack 751781851 win 25840
  16: 09:16:51.266145 192.168.9.2.80 > 10.0.0.2.58769: P 1305887552:1305887593(41) ack 751781851 win 25840
  17: 09:16:51.266511 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887552 win 14960
  18: 09:16:51.266542 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887593 win 14960
  19: 09:16:51.267320 10.0.0.2.58769 > 192.168.9.2.80: F 751781851:751781851(0) ack 1305887593 win 14960
  20: 09:16:51.411370 192.168.9.2.80 > 10.0.0.2.58769: F 1305887593:1305887593(0) ack 751781852 win 8192
  21: 09:16:51.411554 10.0.0.2.58769 > 192.168.9.2.80: . ack 1305887594 win 14960
21 packets shown
pixfirewall# 
pixfirewall# 
pixfirewall#show capture capture-outside
21 packets captured
   1: 09:16:50.972834 192.168.9.30.1024 > 192.168.9.2.80: 
      S 1465558595:1465558595(0) win 1840 <mss 460,sackOK,timestamp 110313116 0,nop,wscale 0>
   2: 09:16:51.098505 192.168.9.2.80 > 192.168.9.30.1024: 
      S 466908058:466908058(0) ack 1465558596 win 8192 <mss 1460>
   3: 09:16:51.098749 192.168.9.30.1024 > 192.168.9.2.80: . ack 466908059 win 1840
   4: 09:16:51.099070 192.168.9.30.1024 > 192.168.9.2.80: P 1465558596:1465558695(99) ack 466908059 win 1840
   5: 09:16:51.228397 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 8192
   6: 09:16:51.228625 192.168.9.2.80 > 192.168.9.30.1024: . ack 1465558695 win 25840
   7: 09:16:51.236224 192.168.9.2.80 > 192.168.9.30.1024: . 466908059:466909419(1360) ack 1465558695 win 25840
   8: 09:16:51.237719 192.168.9.30.1024 > 192.168.9.2.80: . ack 466909419 win 4080
   9: 09:16:51.243578 192.168.9.2.80 > 192.168.9.30.1024: P 466909419:466910779(1360) ack 1465558695 win 25840
  10: 09:16:51.244005 192.168.9.30.1024 > 192.168.9.2.80: . ack 466910779 win 6800
  11: 09:16:51.250978 192.168.9.2.80 > 192.168.9.30.1024: . 466910779:466912139(1360) ack 1465558695 win 25840
  12: 09:16:51.252443 192.168.9.30.1024 > 192.168.9.2.80: . ack 466912139 win 9520
  13: 09:16:51.258424 192.168.9.2.80 > 192.168.9.30.1024: P 466912139:466913499(1360) ack 1465558695 win 25840
  14: 09:16:51.258485 192.168.9.2.80 > 192.168.9.30.1024: P 466914859:466914900(41) ack 1465558695 win 25840
  15: 09:16:51.258821 192.168.9.30.1024 > 192.168.9.2.80: . ack 466913499 win 12240
  16: 09:16:51.266099 192.168.9.2.80 > 192.168.9.30.1024: . 466913499:466914859(1360) ack 1465558695 win 25840
  17: 09:16:51.266526 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914859 win 14960
  18: 09:16:51.266557 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914900 win 14960
  19: 09:16:51.267335 192.168.9.30.1024 > 192.168.9.2.80: F 1465558695:1465558695(0) ack 466914900 win 14960
  20: 09:16:51.411340 192.168.9.2.80 > 192.168.9.30.1024: F 466914900:466914900(0) ack 1465558696 win 8192
  21: 09:16:51.411569 192.168.9.30.1024 > 192.168.9.2.80: . ack 466914901 win 14960
21 packets shown
pixfirewall#
pixfirewall(config)#show capture mss-capture
0 packets captured
0 packets shown
pixfirewall#
pixfirewall#show asp drop
 
Frame drop:
 
Flow drop:
pixfirewall#
 

!--- Both the show capture mss-capture 
!--- and the show asp drop reveal that no packets are dropped.


関連情報


Document ID: 65436