Cisco PIX Firewall システム ログ メッセージ
システム ログ メッセージ
システム ログ メッセージ
発行日;2012/01/31 | 英語版ドキュメント(2009/06/03 版) | ドキュメントご利用ガイド | ダウンロード ; この章pdf | フィードバック

目次

システム ログ メッセージ

メッセージ 101001 ~ 199005

101001

101002

101003, 101004

101005

102001

103001

103002

103003

103004

103005

104001, 104002

104003

104004

105001

105002

105003

105004

105005

105006, 105007

105008

105009

105010

105011

105020

105031

105032

105034

105035

105036

105037

106001

106002

106006

106007

106010

106011

106012

106013

106014

106015

106016

106017

106018

106020

106021

106022

106023

106100

106101

107001

107002

108002

109001

109002

109003

109005

109006

109007

109008

109009

109010

109011

109012

109013

109014

109015

109016

109017

109018

109019

109020

109021

109022

110001

111001

111003

111004

111005

111007

111008

111009

112001

199001

199002

199005

メッセージ 201002 ~ 215001

201002

201003

201005

201006

201008

201009

202001

202005

208005

209003

209004

209005

210001

210002

210003

210005

210006

210007

210008

210010

210020

210021

210022

211001

211003

212001

212002

212003

212004

212005

213001

213002

213003

213004

214001

215001

メッセージ 302003 ~ 320001

302003

302004

302009

302010

302013

302014

302015

302016

302019

302302

303002

304001

304002

304003

304004

304005

304006

304007

304008

304009

305005

305006

305007

305008

305009

305010

305011

305012

308001

308002

309002

311001

311002

311003

311004

312001

313001

313003

314001

315004

315011

316001

317001

317002

317003

317004

317005

318001

318002

318003

318004

318005

318006

318007

318008

320001

メッセージ 400000 ~ 409013

4000nn

401001

401002

401003

401004

401005

402101

402102

402103

402106

403101

403102

403103

403104

403106

403107

403108

403109

403110

403500

403501

403502

403503

403504

403505d

403506

404101

405001

405002

405101

405102

405104

406001

406002

407001

407002

408001

409001

409002

409003

409004

409005

409006

409007

409008

409009

409010

409011

409012

409013

メッセージ 500001 ~ 503001

500001

500002

500003

500004

501101

502101

502102

502103

503001

メッセージ 602101 ~ 620002

602101

602102

602301

602302

603101

603102

603103

603104

603105

603106

603107

603108

603109

604101

604102

604103

604104

605004

605005

606001

606002

607001

608001

609001

609002

610001

610002

610101

611101

611102

611103

611104

611301

611302

611303

611304

611305

611306

611307

611308

611309

611310

611311

611312

611313

611314

611315

611316

611317

611318

611319

611320

611321

611322

611323

612001

612002

612003

613001

613002

613003

614001

614002

620001

620002

メッセージ 701001 ~ 710006

701001

702301

702302

702303

703001

703002

709001, 709002

709003

709004

709005

709006

709007

710001

710002

710003

710004

710005

710006

システム ログ メッセージ

この章では、PIX Firewall システム ログ メッセージの一覧を記載します。メッセージは、メッセージ コードの順番に並べられています。


) このマニュアルで説明するメッセージは、PIX Firewall バージョン 6.3 以降に対応します。番号がスキップされている場合、そのメッセージは PIX Firewall のコードからすでに削除されています。


この章では、次の項目について説明します。

メッセージ 101001 ~ 199005(P.2-2)

メッセージ 201002 ~ 215001(P.2-25)

メッセージ 302003 ~ 320001(P.2-35)

メッセージ 400000 ~ 409013(P.2-51)

メッセージ 500001 ~ 503001(P.2-66)

メッセージ 602101 ~ 620002(P.2-69)

メッセージ 701001 ~ 710006(P.2-84)

メッセージ 101001 ~ 199005

ここでは、101001 ~ 199005 までのメッセージについて説明します。

101001

エラー メッセージ %PIX-1-101001: (Primary) Failover cable OK.

説明 フェールオーバー メッセージ。フェールオーバー ケーブルが存在し、正常に機能していることを示すメッセージです。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

101002

エラー メッセージ %PIX-1-101002: (Primary) Bad failover cable.

説明 フェールオーバー メッセージ。フェールオーバー ケーブルが存在するが、正常に機能していないことを示すメッセージです。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 フェールオーバー ケーブルを交換してください。

101003, 101004

エラー メッセージ %PIX-1-101003: (Primary) Failover cable not connected (this unit). エラー メッセージ %PIX-1-101004: (Primary) Failover cable not connected (other unit).

説明 どちらもフェールオーバー メッセージ。これらのメッセージが記録されるのは、フェールオーバー モードがイネーブルであるが、フェールオーバー ペアの一方の装置にフェールオーバー ケーブルが接続されていない場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 フェールオーバー ケーブルをフェールオーバー ペアの両方の装置に接続してください。

101005

エラー メッセージ %PIX-1-101005: (Primary) Error reading failover cable status.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、フェールオーバー ケーブルが接続されているが、プライマリ装置がフェールオーバー ケーブルのステータスを判別できない場合です。

推奨する対処方法 ケーブルを交換してください。

102001

エラー メッセージ %PIX-1-102001: (Primary) Power failure/System reload other side.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、プライマリ装置で他方の装置の電源障害が検出された場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 セカンダリ装置の電源が入っていて、電源コードが正しく接続されていることを確認してください。

103001

エラー メッセージ %PIX-1-103001: (Primary) No response from other firewall (reason code = code).

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、プライマリ装置がフェールオーバー ケーブルを使用してセカンダリ装置と通信できない場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。 表 2-1 に、フェールオーバーが発生した原因を特定する原因コードとその説明を示します。

 

表 2-1 原因コード

原因コード
説明

1

シリアル ケーブルでフェールオーバー hello パケットが 30 秒以上送信されない。これは、他方のファイアウォール装置でフェールオーバーが適切に実行されていることを示します。

2

インターフェイスが、4 つのフェールオーバー テストのうち 1 つもパスしなかった。4 つのテストとは、1) リンク アップ、2) ネットワーク トラフィックの監視、3) ARP テスト、4) ブロードキャスト Ping テストです。

3

コマンドの送信後、シリアル ケーブルで適切な ACK が 15 秒以上送信されない。

推奨する対処方法 フェールオーバー ケーブルが正しく接続されていること、および両方の装置に同じハードウェア、ソフトウェア、設定が使用されていることを確認します。問題がある場合は、弊社販売代理店までご連絡ください。

103002

エラー メッセージ %PIX-1-103002: (Primary) Other firewall network interface interface_number OK.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、プライマリ装置でセカンダリ装置のネットワーク インターフェイスが良好であると検出された場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。interface_number 変数の取り得る値については、 第1章「概要」 表 1-4 を参照してください。

推奨する対処方法 不要。

103003

エラー メッセージ %PIX-1-103003: (Primary) Other firewall network interface interface_number failed.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、プライマリ装置でセカンダリ装置のネットワーク インターフェイスが不良であると検出された場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。 interface_number 変数の取り得る値については、表 1-4 を参照してください。

推奨する対処方法 セカンダリ装置のネットワーク接続を調べてください。さらに、ネットワークのハブ接続を調べてください。必要であれば、障害のあったネットワーク インターフェイスを交換してください。

103004

エラー メッセージ %PIX-1-103004: (Primary) Other firewall reports this firewall failed.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、プライマリ装置が、セカンダリ装置からプライマリ装置障害を伝えるメッセージを受信した場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 プライマリ装置のステータスを調べてください。

103005

エラー メッセージ %PIX-1-103005: (Primary) Other firewall reporting failure.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、セカンダリ装置からプライマリ装置に対して障害が報告された場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 セカンダリ装置のステータスを調べてください。

104001, 104002

エラー メッセージ %PIX-1-104001: (Primary) Switching to ACTIVE (cause: string ). エラー メッセージ %PIX-1-104002: (Primary) Switching to STNDBY (cause: string ).

説明 どちらもフェールオーバー メッセージ。これらのメッセージが記録されるのは、通常、セカンダリ装置上で failover active コマンドを入力するか、またはプライマリ装置上で no failover active コマンドを入力することによって、ペアの役割を強制的に切り替えた場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。string 変数の取り得る値は次のとおりです。

state check

bad/incompleted config

ifc [interface] check, mate is healthier

the otherside want me standby

in failed state, cannot be active

switch to failed state

推奨する対処方法 手動介入が原因でこのメッセージが表示された場合、対処は不要です。それ以外の場合は、セカンダリ装置から報告された原因を元にペアの装置のステータスを両方調べてください。

104003

エラー メッセージ %PIX-1-104003: (Primary) Switching to FAILED.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、プライマリ装置が故障した場合です。

推奨する対処方法 プライマリ装置に関するシステム ログ メッセージをチェックして、問題の原因を調べてください(メッセージ 104001 を参照)。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

104004

エラー メッセージ %PIX-1-104004: (Primary) Switching to OK.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、故障していた装置から再び動作することが伝えられた場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

105001

エラー メッセージ %PIX-1-105001: (Primary) Disabling failover.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、コンソールで no failover コマンドを入力した場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

105002

エラー メッセージ %PIX-1-105002: (Primary) Enabling failover.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、すでにフェールオーバーをディセーブルにした後で、コンソールから、引数を指定せずに failover コマンドを入力した場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

105003

エラー メッセージ %PIX-1-105003: (Primary) Monitoring on interface interface_name waiting

説明 フェールオーバー メッセージ。ファイアウォールは、フェールオーバー ペアの他方の装置との間で、指定のネットワーク インターフェイスをテストしています。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。ファイアウォールは、通常の動作中に、頻繁にネットワーク インターフェイスを監視します。

105004

エラー メッセージ %PIX-1-105004: (Primary) Monitoring on interface interface_name normal

説明 フェールオーバー メッセージ。指定のネットワーク インターフェイスのテストが正常に完了しました。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

105005

エラー メッセージ %PIX-1-105005: (Primary) Lost Failover communications with mate on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、フェールオーバー ペアの他方の装置と通信できなくなった場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 指定のインターフェイスに接続されたネットワークが正常に動作しているかどうかを確認してください。

105006, 105007

エラー メッセージ %PIX-1-105006: (Primary) Link status ‘Up' on interface interface_name. エラー メッセージ %PIX-1-105007: (Primary) Link status ‘Down' on interface interface_name.

説明 どちらもフェールオーバー メッセージ。これらは、指定されたインターフェイスのリンク ステータスのモニタリング結果を示すメッセージです。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 リンク ステータスが down の場合は、指定のインターフェイスに接続されたネットワークが正常に動作しているかを確認してください。

105008

エラー メッセージ %PIX-1-105008: (Primary) Testing interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、ファイアウォールが指定のネットワーク インターフェイスをテストする場合です。このテストは、予測したインターバルの経過後、ファイアウォールがそのインターフェイス上のスタンバイ装置からメッセージを受信しなかった場合にだけ実行されます。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

105009

エラー メッセージ %PIX-1-105009: (Primary) Testing on interface interface_name {Passed|Failed}.

説明 フェールオーバー メッセージ。これは、前述のインターフェイス テストの結果(「Passed」または「Failed」)を伝えるメッセージです。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 結果が「Passed」の場合は不要です。 「Failed」の場合は、両方のフェールオーバー装置にネットワーク ケーブルが正しく接続されているか、ネットワークそのものが正常に動作しているかを確認し、さらに、スタンバイ装置のステータスを調べてください。

105010

エラー メッセージ %PIX-3-105010: (Primary) Failover message block alloc failed

説明 ブロック メモリが使い果たされました。これは一時メッセージで、ファイアウォールが回復処理を行います。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 show blocks コマンドを使用して、現在のブロック メモリを監視してください。

105011

エラー メッセージ %PIX-1-105011: (Primary) Failover cable communication failure

説明 フェールオーバー ケーブルが原因でプライマリ装置とセカンダリ装置が通信できません。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 ケーブルが正しく接続されていることを確認してください。

105020

エラー メッセージ %PIX-1-105020: (Primary) Incomplete/slow config replication

説明 フェールオーバー発生時に、アクティブな PIX Firewall がメモリ内で不完全なコンフィギュレーションを検出しました。通常は、複製サービスの中断によって発生します。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 PIX Firewall がフェールオーバーを検出すると、PIX Firewall が自動的にリロードされ、フラッシュ メモリからコンフィギュレーションがロードされ、他の PIX Firewall と再同期が図られます。フェールオーバーが連続して発生する場合は、フェールオーバーのコンフィギュレーションをチェックして、両方の PIX Firewall 装置が互いに通信できるかどうかを確認してください。

105031

エラー メッセージ %PIX-1-105031: Failover LAN interface is up

説明 LAN フェールオーバー インターフェイスは起動しています。

推奨する対処方法 不要。

105032

エラー メッセージ %PIX-1-105032: LAN Failover interface is down

説明 LAN フェールオーバー インターフェイスはダウンしています。

推奨する対処方法 LAN フェールオーバー インターフェイスの接続性をチェックします。速度/全二重の設定が正しいことを確認してください。

105034

エラー メッセージ %PIX-1-105034: Receive a LAN_FAILOVER_UP message from peer.

説明 ピアは直前に起動し、初期のコンタクト メッセージを送信しました。

推奨する対処方法 不要。

105035

エラー メッセージ %PIX-1-105035: Receive a LAN failover interface down msg from peer.

説明 ピアの LAN フェールオーバー インターフェイスがダウンしています。装置のモードは、スタンバイの場合はアクティブに切り換えます。

推奨する対処方法 ピアの LAN フェールオーバー インターフェイスの接続性をチェックします。

105036

エラー メッセージ %PIX-1-105036: PIX dropped a LAN Failover command message.

説明 ファイアウォールは未応答の LAN フェールオーバー コマンド メッセージをドロップしました。LAN フェールオーバー インターフェイスで接続関連の問題があります。

推奨する対処方法 LAN インターフェイス ケーブルが接続されていることをチェックします。

105037

エラー メッセージ %PIX-1-105037: The primary and standby units are switching back and forth as the active unit.

説明 プライマリ装置とスタンバイ装置が、交互にアクティブ装置になっています。LAN フェールオーバーの接続の問題、またはソフトウェアのバグです。

推奨する対処方法 LAN インターフェイス ケーブルが接続されていることをチェックします。

106001

エラー メッセージ %PIX-2-106001: Inbound TCP connection denied from IP_address/port to IP_address/port flags tcp_flags on interface interface_name

説明 接続関連のメッセージ。このメッセージが表示されるのは、内部アドレスに対する接続試行がセキュリティ ポリシーによって拒否された場合です。tcp_flags 値は、接続が拒否された時点の TCP ヘッダーにあるフラグに対応します。たとえば、TCP パケットが PIX Firewall で接続状態がないときに受信され、廃棄された場合を考えます。このパケットの tcp_flags は、FIN、ACK です。

tcp_flags は次のとおりです。

ACK:確認応答番号が受信されました。

FIN:データが送信されました。

PSH:受信側がデータをアプリケーションに渡しました。

RST:接続がリセットされました。

SYN:接続を開始するためにシーケンス番号の同期が取られました。

URG:アージェント ポインタが有効とされました。

推奨する対処方法 不要。

106002

エラー メッセージ %PIX-2-106002: protocol Connection denied by outbound list acl_ID src inside_address dest outside_address

説明 接続関連のメッセージ。このメッセージが記録されるのは、 outbound deny コマンド文が原因で指定の接続に失敗した場合です。protocol 変数は、ICMP、TCP、または UDP です。

推奨する対処方法  show outbound コマンドを使用して発信リストを調べます。

106006

エラー メッセージ %PIX-2-106006: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 接続関連のメッセージ。このメッセージが記録されるのは、セキュリティ ポリシーによって着信 UDP パケットが拒否された場合です。

推奨する対処方法 不要。

106007

エラー メッセージ %PIX-2-106007: Deny inbound UDP from outside_address/outside_port to inside_address/inside_port due to DNS {Response|Query}.

説明 接続関連のメッセージ。このメッセージが記録されるのは、DNS クエリーまたは応答を含む UDP パケットが拒否された場合です。

推奨する対処方法 内部ポート番号が 53 の場合、内部ホストがキャッシング ネームサーバとして設定されている可能性があります。 access-list コマンド文を追加し、UDP ポート 53 でのトラフィックを許可します。 外部ポート番号が 53 の場合は、クエリーに対する DNS サーバの応答が遅すぎたため、他のサーバが応答した可能性があります。

106010

エラー メッセージ %PIX-3-106010: Deny inbound protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 接続関連のメッセージ。このメッセージが記録されるのは、セキュリティ ポリシーによって着信接続が拒否された場合です。

推奨する対処方法 トラフィックを許可する場合は、セキュリティ ポリシーを修正します。 このメッセージが一定の間隔で表示される場合は、リモート ピアの管理者に連絡してください。

106011

エラー メッセージ %PIX-7-106011: Deny inbound (No xlate) string

説明 このメッセージが表示されるのは、通常のトラフィック状況下で、Web ブラウザからインターネットにアクセスしている内部ユーザがいる場合です。接続がリセットされるたびに、ファイアウォールのリセット受信後に、接続の端にあるホストがパケットを送信します。その時にメッセージが表示されます。通常、このメッセージは無視されます。

推奨する対処方法  no logging message 106011 コマンドを入力して、syslog サーバに syslog メッセージが記録されないようにします。

106012

エラー メッセージ %PIX-2-106012: Deny IP from IP_address to IP_address, IP options hex.

説明 パケット整合性チェックに関するメッセージです。IP パケットに IP オプションが付いていました。IP オプションはセキュリティ上危険であると考えられるため、パケットは廃棄されました。

推奨する対処方法 リモート ホストのシステム管理者に連絡して、問題を特定します。 ローカル サイトの発信元ルーティングが緩やかであるか厳密であるかを調べてください。

106013

エラー メッセージ %PIX-2-106013: Dropping echo request from IP_address to PAT address IP_address

説明 このメッセージが記録されるのは、宛先アドレスが PAT グローバル アドレスと一致する着信 ICMP エコー要求パケットを、ファイアウォールが廃棄した場合です。着信パケットが、パケットを受信すべき PAT ホストを指定できないため、廃棄されました。

推奨する対処方法  不要。

106014

エラー メッセージ %PIX-3-106014: Deny inbound icmp src interface_name: IP_address dst interface_name: IP_address (type dec, code dec)

説明 このメッセージが記録されるのは、ファイアウォールが何らかの着信 ICMP パケット アクセスを拒否した場合です。デフォルトでは、 conduit permit icmp コマンドを使用して特別に許可されない限り、すべての ICMP パケットのアクセスが拒否されます。

推奨する対処方法  不要。

106015

エラー メッセージ %PIX-6-106015: Deny TCP (no connection) from IP_address/port to IP_address/port flags tcp_flags on interface interface_name.

説明 このメッセージが記録されるのは、ファイアウォール装置の接続テーブルで接続が関連付けられていない TCP パケットをファイアウォールが廃棄する場合です。ファイアウォールは、新しい接続の確立要求を指示する SYN フラグがパケットにあるかどうかを調べます。SYN フラグが設定されていない場合で、既存の接続がない場合、ファイアウォールはそのパケットを廃棄します。

推奨する対処方法  ファイアウォールがこのような無効な TCP パケットを大量に受信した場合を除き、不要です。無効な TCP パケットを大量に受信した場合は、パケットの発信元を追跡し、パケットが送信された理由を特定してください。

106016

エラー メッセージ %PIX-2-106016: Deny IP spoof from (IP_address) to IP_address on interface interface_name.

説明 このメッセージが記録されるのは、無効な発信元アドレスが含まれているパケットをファイアウォールが破棄する場合です。 無効な発信元アドレスとは、次のいずれかに当てはまるアドレスです。

ループバック ネットワーク (127.0.0.0)

ブロードキャスト(制限、ネット方向、サブネット方向、および全サブネット方向)

宛先ホスト(land.c)

さらに、sysopt connection enforcesubnet コマンドがイネーブルの場合、PIX Firewall は、発信元アドレスが宛先サブネットに属しているパケットを、ファイアウォールを通過させずに廃棄し、このメッセージを記録します。

スプーフィング パケット検出をさらに拡張するには、conduit コマンドを使用して、発信元アドレスが内部ネットワークに属しているパケットを廃棄するようにファイアウォールを設定します。

推奨する対処方法 外部ユーザが保護されたネットワークに危害を加えようとしているかどうか確認してください。誤って設定されているクライアントがないか調べてください。

106017

エラー メッセージ %PIX-2-106017: Deny IP due to Land Attack from IP_address to IP_address

説明 このメッセージは、ファイアウォールが IP 宛先アドレスと同じ IP 発信元アドレス、および発信元ポートと同じ宛先ポートを持つパケットを受信した場合に表示されます。これは、システムを攻撃する目的のスプーフィング パケットを示します。この攻撃は、Land Attack と呼ばれます。

推奨する対処方法 このメッセージが続く場合は、攻撃されている可能性があります。パケットには、攻撃がどこで起きているかを特定する十分な情報はありません。

106018

エラー メッセージ %PIX-2-106018: ICMP packet type ICMP_type denied by outbound list acl_ID src inside_address dest outside_address

説明 このメッセージが記録されるのは、ローカル ホスト inside_address から外部ホスト outside_address へ送信される、ICMP_type の発信 ICMP パケットが、発信リスト acl_ID によって拒否された場合です。

推奨する対処方法 不要。

106020

エラー メッセージ %PIX-2-106020: Deny IP teardrop fragment (size = number, offset = number) from IP_address to IP_address

説明 ファイアウォールは、小さいオフセットまたは重複するフラグメントを含む teardrop シグニチャ付きの IP パケットを廃棄しました。このパケット送信は、ファイアウォールまたは Intrusion Detection System を回避しようとする、悪意のある行為です。

推奨する対処方法 リモート ピアの管理者に連絡するか、ユーザのセキュリティ ポリシーに従って、この問題を報告してください。

106021

エラー メッセージ %PIX-1-106021: Deny protocol reverse path check from source_address to dest_address on interface interface_name

説明 着信接続で誰かが IP アドレスをスプーフィングしようとしています。逆ルート ルックアップとも呼ばれるユニキャスト予約パス転送(ユニキャスト RPF)は、ルートによって示される発信元アドレスを持たないパケットを検出したため、ファイアウォールに対する攻撃の 1 つとみなします。

推奨する対処方法 このメッセージは、予約パス転送を ip verify reverse-path コマンドでイネーブルにした場合に表示されます。この機能は、インターフェイスに入力されたパケットに対して働きます。パケットが外部で設定された場合、ファイアウォールは外部から着信するパケットをチェックします。

ファイアウォールは、source_address に基づいたルートを調べます。エントリが見つからずルートが定義されていない場合は、この syslog メッセージが表示され、接続が切断されます。

ルートがある場合は、ファイアウォールはどのインターフェイスと対応するかチェックします。パケットが別のインターフェイスに着信した場合、スプーフィング、または宛先へのパスが 2 つ以上ある非対称ルーティング環境のどちらかが存在します。ファイアウォールは非対称ルーティングをサポートしません。

内部インターフェイスで設定された場合、ファイアウォールはスタティック route コマンド文または RIP をチェックし、source_address が見つからなかった場合は、内部ユーザがアドレスをスプーフィングしています。

攻撃が進行中です。この機能をイネーブルにしておけば、ユーザの対処は不要です。ファイアウォールが攻撃を撃退します。

106022

エラー メッセージ %PIX-1-106022: Deny protocol connection spoof from source_address to dest_address on interface interface_name

説明 このメッセージは、接続が確立されており、その接続に適合するパケットが、接続を開始したインターフェイスとは違うインターフェイスに到着した場合にだけ表示されます。

たとえば、内部インターフェイスで接続を開始しても、同じ接続が境界インターフェイスに到着していることがファイアウォールで検出された場合、ファイアウォールには宛先に対して複数のパスが存在することになります。これは非対称ルーティングと呼ばれ、ファイアウォールではサポートされません。

あるいは、攻撃者が ファイアウォールに進入する手段として、ある接続のパケットをほかの接続に追加しようとしています。どちらの場合でも、ファイアウォールはメッセージを表示して接続を切断します。

推奨する対処方法 このメッセージは、ip verify reverse-path コマンドが設定されていない場合に表示されます。ルーティングが非対称でないことを確認してください。

106023

エラー メッセージ %PIX-4-106023: Deny protocol src [ interface_name : source_address/source_port ] dst interface_name : dest_address/dest_port [type { string }, code { code }] by access_group acl_ID

説明 IP パケットが ACL によって拒否されました。 このメッセージは、ACL の log オプションをイネーブルにしていない場合でも表示されます。

推奨する対処方法 同じ宛先アドレスからこのメッセージが続く場合は、フット プリンティングまたはポート スキャニング攻撃の可能性があります。リモート ホスト管理者に連絡してください。

106100

エラー メッセージ %PIX- n -106100: access-list acl_ID {permitted | denied | est-allowed} protocol interface_name / source_address ( source_port ) -> interface_name / dest_address ( dest_port ) hit-cnt number ({first hit | number -second interval})

説明  access-list コマンドの log オプションを設定した場合は、パケットが ACL 文と一致したときにこのメッセージが報告されます。 メッセージ レベルは、 access-list コマンドで設定したレベルによって異なります。デフォルトのレベルは 6 です。 このメッセージは、パケットが初めて ACL 文と一致したこと、または期間中にパケットが ACL 文と一致した総回数を示します。 このメッセージでは、メッセージ 106023 よりも多くの情報が提供されます。メッセージ 106023 は拒否されたパケットを記録するだけで、ヒット数は含まれておらず、メッセージ レベルも設定できません。 次の説明を参照してください。

{permitted | denied | est-allowed}:これらの値は、パケットが ACL によって許可されたか拒否されたかを示します。 この値が est-allowed である場合、パケットは ACL によって拒否されましたが、確立済みのセッションに対しては許可されました。たとえば、内部ユーザがインターネットへのアクセスを許可されているときは、応答パケットの伝送が許可されます。

protocol tcp udp icmp 、または IP プロトコル番号。

interface_name :記録されているフローの、発信元または宛先のインターフェイス名。 VLAN インターフェイスがサポートされています。

source_address :記録されているフローの発信元 IP アドレス。

dest_address :記録されているフローの宛先 IP アドレス。

source_port :記録されているフローの発信元ポート(TCP または UDP)。 ICMP の場合、このフィールドは 0 です。

dest_port :記録されているフローの宛先ポート(TCP または UDP)。 ICMP の場合、このフィールドは icmp-type です。

hit-cnt number :設定した期間中に、このフローがこの ACL エントリによって許可または拒否された回数。 ファイアウォールがこのフローの最初の syslog メッセージを生成したときは、この値は 1 になります。

first hit:このフローについて生成された最初のメッセージ。

number -second interval:ヒット数を累算する期間。 この期間を設定するには、 access-list コマンドの interval オプションを使用します。

推奨する対処方法 不要。

106101

エラー メッセージ %PIX-1-106101 The number of ACL log deny-flows has reached limit ( number ).

説明 ACL deny 文( access-list id deny コマンド)の log オプションを設定した場合は、トラフィック フローが ACL 文と一致すると、ファイアウォールがフローの情報をキャッシュします。 ファイアウォールにキャッシュされる一致フローの数が、ユーザの設定した制限数( access-list deny-flow-max コマンド)を超えたときに、このメッセージが記録されます。 次の説明を参照してください。

number access-list deny-flow-max コマンドを使用して設定した制限数。

推奨する対処方法 不要。 このメッセージは、DoS 攻撃の結果として生成される可能性があります。

107001

エラー メッセージ %PIX-1-107001: RIP auth failed from IP_address: version=number, type=string, mode=string, sequence=number on interface interface_name

説明 アラート ログ メッセージ。ファイアウォールは、不正な認証を伴う RIP 応答メッセージを受信しました。これは、ルータまたはファイアウォールの誤った設定によるものか、またはファイアウォール装置のルーティング テーブルに対して失敗に終わった攻撃である可能性があります。

推奨する対処方法 これは攻撃である可能性があり、監視が必要です。このメッセージに表示されている発信元 IP アドレスについてよく知らない場合は、信頼できるエンティティ間の RIP 認証キーを変更してください。攻撃者が既存のキーを推測しようとしている可能性があります。

107002

エラー メッセージ %PIX-1-107002: RIP pkt failed from IP_address: version=number on interface interface_name

説明 アラート メッセージ。ルータのバグ、内部に RFC 値がないパケット、または変形したエントリが考えられます。発生してはならない問題であり、PIX Firewall 装置のルーティング テーブルが利用される可能性があります。

推奨する対処方法 これは攻撃である可能性があり、監視が必要です。有効であるとみなされた場合、パケットは認証を通過しますが、パケットには悪意のあるデータがあります。パケットの送信者に対して少しでも疑いがある場合は、状況を監視して、キーを変更してください。

108002

エラー メッセージ %PIX-2-108002: SMTP replaced string: out source_address in inside_address data: string

説明 fixup protocol smtp コマンドによって生成される Mail Guard (SMTP)メッセージです。このメッセージが記録されるのは、PIX Firewall によって、電子メール アドレス内の無効な文字がスペースに置き換えられた場合です。

推奨する対処方法 不要。

109001

エラー メッセージ %PIX-6-109001: Auth start for user user from inside_address/ inside_port to outside_address/ outside_port

説明 AAA メッセージ。このメッセージが記録されるのは、AAA 対応に設定された PIX Firewall が、指定のユーザから出された認証要求を検出した場合です。

推奨する対処方法 不要。

109002

エラー メッセージ %PIX-6-109002: Auth from inside_address/inside_port to outside_address/outside_port failed (server IP_address failed) on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、PIX Firewall が指定の認証サーバに接続できないために、認証要求が失敗した場合です。

推奨する対処方法 指定の認証サーバ上で認証デーモンが動作しているかどうかを確認してください。

109003

エラー メッセージ %PIX-6-109003: Auth from inside_address to outside_address/outside_port failed (all servers failed) on interface interface_name.

説明 AAA メッセージ。このメッセージが記録されるのは、認証サーバが見つからなかった場合です。

推奨する対処方法 PIX Firewall から認証サーバ(複数可)に ping を実行します。デーモンが動作していることを確認してください。

109005

エラー メッセージ %PIX-6-109005: Authentication succeeded for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 AAA メッセージ。このメッセージが記録されるのは、指定の認証要求が正常に完了した場合です。

推奨する対処方法 不要。

109006

エラー メッセージ %PIX-6-109006: Authentication failed for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、パスワードの入力ミスのために指定の認証要求が失敗した場合です。

推奨する対処方法 不要。

109007

エラー メッセージ %PIX-6-109007: Authorization permitted for user user from inside_address/inside_port to outside_address/outside_port on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、指定の認証要求が正常に完了した場合です。

推奨する対処方法 不要。

109008

エラー メッセージ %PIX-6-109008: Authorization denied for user user from outside_address/outside_port to inside_address/inside_port on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、パスワードの入力ミスのために、ユーザが指定のアドレスへのアクセスを許可されなかった場合です。

推奨する対処方法 不要。

109009

エラー メッセージ %PIX-6-109009: Authorization denied from inside_address/inside_port to outside_address/outside_port (not authenticated) on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、PIX Firewall が AAA に対応するように設定されていて、ユーザが認証を受けずに PIX Firewall で TCP 接続を試行した場合です。

推奨する対処方法 不要。

109010

エラー メッセージ %PIX-3-109010: Auth from inside_address/inside_port to outside_address/outside_port failed (too many pending auths) on interface interface_name.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、サーバで保留している要求が多すぎるために、認証要求が処理されない場合です。

推奨する対処方法 認証サーバが低速であるために認証要求に対応できないのかどうかを調べてください。floodguard enable コマンドで Flood Defender をイネーブルにします。

109011

エラー メッセージ %PIX-2-109011: Authen Session Start: user ' user ', sid number

説明 ホストとファイアウォールの間で認証セッションが開始されましたが、まだ完了していません。

推奨する対処方法 不要。

109012

エラー メッセージ %PIX-5-109012: Authen Session End: user 'user', sid number, elapsed number seconds

説明 認証キャッシュがタイムアウトしました。 ユーザは次の接続で認証を受け直す必要があります。timeout uauth コマンドを使用すると、このタイマーの長さを変更できます。

推奨する対処方法 不要。

109013

エラー メッセージ %PIX-3-109013: User must authenticate before using this service

説明 ユーザは、サービスを使用する前に認証を受ける必要があります。

推奨する対処方法 FTP、Telnet、または HTTP を使用して認証を受けてからサービスを使用してください。

109014

エラー メッセージ %PIX-7-109014: uauth_lookup_net fail for uauth_in()

説明 認証要求に対応する認証としての要求がありませんでした。

推奨する対処方法 aaa authentication コマンド文および aaa authorization コマンド文の両方が、コンフィギュレーションにあることを確認してください。

109015

エラー メッセージ %PIX-6-109015: Authorization denied (acl=acl_ID) for user 'user' from source_address/source_port to dest_address/dest_port on interface interface_name

説明 アクセス リストのチェックに失敗しました。拒否条件と一致したか、どれにも一致しない(暗黙の拒否など)かのどちらかです。CiscoSecure ACS の AAA 認証ポリシーで定義されたユーザ アクセス リスト acl_ID によって、接続が拒否されました。

推奨する対処方法 不要。

109016

エラー メッセージ %PIX-3-109016: Can't find authorization ACL acl_ID on 'PIX' for user ' user '

説明 AAA サーバ上で指定されたこのユーザ用のアクセス コントロール リスト(ACL)が、ファイアウォールに存在しません。 このエラーは、ファイアウォールの設定前に AAA サーバを設定した場合に発生する可能性があります。 AAA サーバ上のベンダー固有アトリビュート(VSA)は、次のいずれかの値になっています。

acl= acl_ID

shell:acl= acl_ID

ACS:CiscoSecured-Defined-ACL= acl_ID

推奨する対処方法 ACL をファイアウォールに追加します。AAA サーバ上で指定したものと同じ名前を使用してください。

109017

エラー メッセージ %PIX-4-109017: User at IP_address exceeded auth proxy connection limit (max)

説明 ユーザがユーザ認証プロキシ制限数を超えて、プロキシへの接続を多数開きました。

推奨する対処方法  aaa proxy-limit proxy_limit コマンドを入力してプロキシの制限数を増加するか、ユーザに未使用の接続を閉じてもらいます。 このエラーが続く場合は、DoS 攻撃の可能性があります。

109018

エラー メッセージ %PIX-3-109018: Downloaded ACL acl_ID is empty

説明 ダウンロードした認証アクセス リストに ACE がありません。この原因としては、アトリビュート文字列「ip:inacl#」のスペルミス、または access list コマンドの省略が考えられます。

junk:junk# 1=permit tcp any any eq junk" "ip:inacl#1=”

推奨する対処方法 AAA サーバ上でエラーと認識された ACL 要素を修正します。

109019

エラー メッセージ %PIX-3-109019: Downloaded ACL acl_ID has parsing error; ACE string

説明 ダウンロードした認証アクセス リストのアトリビュート文字列「ip:inacl#NNN=」内のシーケンス番号 NNN を解析中にエラーが発生した場合に、このメッセージが表示されます。「=」が抜けている、数字でないものが入っている、「#」の後ろにスペースがない、NNN が 999999999 より大きい、などが原因です。

ip:inacl# 1 permit tcp any any
ip:inacl# 1junk2=permit tcp any any
ip:inacl# 1000000000=permit tcp any any

推奨する対処方法 AAA サーバ上でエラーと認識された ACL 要素を修正します。

109020

エラー メッセージ %PIX-3-109020: Downloaded ACL has config error; ACE

説明 ダウンロードした認証アクセス リストの要素の 1 つに設定エラーがあります。要素のテキスト全体が syslog メッセージ内に示されます。このメッセージは、通常、無効な access list コマンド文が原因です。

ip:inacl# 1=permit junk any any
ip:inacl# 1=permit tcp any any eq junk

推奨する対処方法 AAA サーバ上でエラーと認識された ACL 要素を修正します。

109021

エラー メッセージ %PIX-7-109021: Uauth null proxy error

説明 このメッセージは、内部ユーザ認証エラーを示します。

推奨する対処方法 不要。 ただし、このエラーが繰り返し発生する場合は弊社販売代理店にご連絡ください。

109022

エラー メッセージ %PIX-4-109022: exceeded HTTPS proxy process limit

説明 ファイアウォールは、HTTPS 認証ごとに認証要求処理用のプロセスを割り当てます。 同時に実行するプロセスの数がシステムでの制限数を超えた時点で、ファイアウォールは認証を実行しなくなり、このメッセージが表示されます。

推奨する対処方法 不要。

110001

エラー メッセージ %PIX-6-110001: No route to dest_address from source_address

説明 ルート ルックアップ障害を示すメッセージ。パケットは、ルーティング テーブルにない宛先 IP アドレスを探しています。

推奨する対処方法 ルーティング テーブルをチェックして、宛先までのルートがあることを確認してください。

111001

エラー メッセージ %PIX-5-111001: Begin configuration: IP_address writing to device

説明 このメッセージが記録されるのは、 write コマンドを入力して、device (フロッピー、フラッシュ メモリ、TFTP、フェールオーバー スタンバイ装置、またはコンソール ターミナル)にコンフィギュレーションを保存した場合です。IP_address は、ログインがコンソール ポートで行われたものか Telnet 接続によるものかを示します。

推奨する対処方法 不要。

111003

エラー メッセージ %PIX-5-111003: IP_address Erase configuration

説明 ファイアウォール管理メッセージ。このメッセージが記録されるのは、コンソールで write erase コマンドを入力して、フラッシュ メモリの内容を消去した場合です。IP_address は、ログインがコンソール ポートで行われたものか Telnet 接続によるものかを示します。

推奨する対処方法 コンフィギュレーションを消去した後、ファイアウォールを再構成し、新しいコンフィギュレーションを保存します。あるいは、フロッピーまたはネットワーク上の TFTP サーバにすでに保存されているコンフィギュレーションから情報を復元することもできます。

111004

エラー メッセージ %PIX-5-111004: IP_address end configuration: {FAILED|OK}

説明 このメッセージが記録されるのは、 config floppy/memory/network コマンド、または write floppy/memory/network/standby コマンドを入力した場合です。IP_address は、ログインがコンソール ポートで行われたものか Telnet 接続によるものかを示します。

推奨する対処方法 メッセージが OK で終了している場合は不要です。メッセージがエラーを示している場合は、問題を解決してください。たとえば、フロッピーに書き込む場合は、フロッピーが書き込み保護されていないことを確認します。TFTP サーバに書き込む場合は、サーバが稼働していることを確認します。

111005

エラー メッセージ %PIX-5-111005: IP_address end configuration: OK

説明 このメッセージが記録されるのは、設定モードを終了した場合です。IP_address は、ログインがコンソール ポートで行われたものか Telnet 接続によるものかを示します。

推奨する対処方法 不要。

111007

エラー メッセージ %PIX-5-111007: Begin configuration: IP_address reading from device.

説明 このメッセージが記録されるのは、コンフィギュレーションを読み込むために reload コマンドまたは configure コマンドを入力する場合です。device は、フロッピー、メモリ、ネット、スタンバイ、または端末のいずれかです。IP_address は、ログインがコンソール ポートで行われたものか Telnet 接続によるものかを示します。

推奨する対処方法 不要。

111008

エラー メッセージ %PIX-5-111008: User user executed the command string

説明 アカウンティング関連の syslog メッセージです。ユーザがコンフィギュレーションを変更するコマンドを入力しました。

推奨する対処方法 不要。

111009

エラー メッセージ %PIX-7-111009:User user executed cmd: string

説明 アカウンティング関連の syslog メッセージです。ユーザがコンフィギュレーションを変更しないコマンドを入力しました。

推奨する対処方法 不要。

112001

エラー メッセージ %PIX-2-112001: ( string : dec ) PIX Clear complete.

説明 このメッセージが記録されるのは、PIX Firewall のコンフィギュレーションの消去要求が完了した場合です。ソース ファイルおよび行番号が示されます。

推奨する対処方法 不要。

199001

エラー メッセージ %PIX-5-199001: PIX reload command executed from telnet (remote IP_address).

説明 このメッセージは、 reload コマンドで PIX Firewall のリブートを開始したホストのアドレスを示します。

推奨する対処方法 不要。

199002

エラー メッセージ %PIX-6-199002: PIX startup completed. Beginning operation.

説明 このメッセージが記録されるのは、PIX Firewall が初期ブートおよびフラッシュ メモリ読み取りシーケンスを完了して、通常の動作を開始する準備が完了した後です。


) このメッセージは、no logging message コマンドを使用してブロックすることはできません。


推奨する対処方法 不要。

199005

エラー メッセージ %PIX-6-199005: PIX Startup begin

説明 このメッセージが記録されるのは、PIX Firewall が起動した場合です。

推奨する対処方法 不要。

メッセージ 201002 ~ 215001

ここでは、201002 ~ 215001 までのメッセージについて説明します。

201002

エラー メッセージ %PIX-3-201002: Too many connections on {static|xlate} global_address! econns nconns

説明 接続関連のメッセージ。このメッセージが記録されるのは、指定されたスタティック アドレスへの最大接続数を超過した場合です。econns 変数は初期接続の最大数で、nconns 変数はスタティック接続または xlate の最大接続数です。

推奨する対処方法  show static コマンドを使用して、スタティック アドレスへの接続制限をチェックしてください。この制限は設定可能です。

201003

エラー メッセージ %PIX-2-201003: Embryonic limit exceeded nconns/elimit for outside_address/outside_port (global_address) inside_address/inside_port on interface interface_name

説明 ファイアウォールへ向かうトラフィックに関する接続関連のメッセージ。このメッセージが記録されるのは、指定の外部アドレスから指定のスタティック グローバル アドレスを経由して指定のローカル アドレスへ向かう初期接続が最大数を超過した場合です。初期接続の制限数に達した場合、ファイアウォールは接続を受け付けますが、タイムリミットを設定します。その結果、PIX Firewall が最大限に稼働しているときでも、一部の接続は成功します。nconns 変数は受信した初期接続数をリストし、 elimit 変数は static コマンドまたは nat コマンドで指定した最大初期接続数をリストします。

推奨する対処方法 このメッセージは、メッセージ 201002 よりも重大な過負荷を示します。 SYN 攻撃を受けているか、あるいは単にトラフィックが過負荷である可能性があります。show static コマンドを使用して、スタティック アドレスへの初期接続の制限をチェックしてください。

201005

エラー メッセージ %PIX-3-201005: FTP data connection failed for IP_address

説明 接続関連のメッセージ。このメッセージが記録されるのは、メモリ不足が原因で、ファイアウォールが FTP データ接続を追跡するための構造の割り当てが行われなかった場合です。

推奨する対処方法 メモリ使用量を少なくするか、メモリを購入して拡張してください。

201006

エラー メッセージ %PIX-3-201006: RCMD backconnection failed for IP_address/port

説明 接続関連のメッセージ。このメッセージが記録されるのは、メモリ不足が原因で、ファイアウォールが事前に rsh コマンドの着信標準出力用の接続の割り当てができなかった場合です。

推奨する対処方法  rsh クライアントのバージョンを調べてください。ファイアウォールがサポートするのは、Berkeley の rsh だけです。メモリ使用量を少なくするか、メモリを購入して拡張してください。

201008

エラー メッセージ %PIX-3-201008: The PIX is disallowing new connections.

説明 このメッセージは、TCP syslog 機能をイネーブルにしたが、 syslog サーバに到達できない場合、またはPFSS (PIX Firewall Syslog Server)を使用しているが、 Windows NT システムのディスクが一杯の場合に表示されます。

推奨する対処方法 TCP システム ログ メッセージをディセーブルにします。PFSS を使用している場合は、PFSS が常駐する Windows NT システムのディスク領域を空けます。また、syslog ホストが起動し、PIX Firewall コンソールからホストを ping できることを確認してください。次に、TCP システム メッセージ ロギングを再起動してトラフィックを許可します。

201009

エラー メッセージ %PIX-3-201009: TCP connection limit of number for host IP_address on interface_name exceeded

説明 接続関連のメッセージ。このメッセージが記録されるのは、指定されたスタティック アドレスへの最大接続数を超過した場合です。limit-count 変数は、ホストに対して許可される接続の最大数です( host-address 変数で指定されます)。

推奨する対処方法 show static および show nat コマンドを使用して、アドレスへの接続に設定されている制限をチェックしてください。この制限は設定可能です。

202001

エラー メッセージ %PIX-3-202001: Out of address translation slots!

説明 接続関連のメッセージ。このメッセージが記録されるのは、ファイアウォールに使用できるアドレス変換スロットが残っていない場合です。

推奨する対処方法 グローバル プールのサイズを内部ネットワーク クライアント数と比較してチェックしてください。PAT アドレスが必要になることもあります。または、xlates および接続のタイムアウト インターバルを短くしてください。この状況は、メモリ不足が原因で生じることもあります。メモリ使用量を減らすか、メモリを購入して拡張してください。

202005

エラー メッセージ %PIX-3-202005: Non-embryonic in embryonic list outside_address/outside_port inside_address/inside_port

説明 接続関連のメッセージ。このメッセージが記録されるのは、接続オブジェクト(xlate)が誤ったリストにある場合です。

推奨する対処方法 弊社販売代理店にご連絡ください。

208005

エラー メッセージ %PIX-3-208005: (function:line_num) pix clear command return code

説明 ファイアウォールがフラッシュ メモリのコンフィギュレーションを消去しようとしたところ、ゼロ以外の値(内部エラー)を受け取りました。このメッセージには、サブルーチンのファイル名および行番号についての報告が含まれます。

推奨する対処方法 パフォーマンス上の理由から、エンド ホストは IP フラグメントを挿入しないように設定する必要があります。この原因としては、NFS が最も考えられます。読み取り/書き込みサイズを NFS 用のインターフェイス MTU に合わせて設定してください。

209003

エラー メッセージ %PIX-4-209003: Fragment database limit of number exceeded: src = IP_address,dest = IP_address, proto = protocol, id = number

説明 現在、多くの IP フラグメントがリアセンブリを待っています。 デフォルトでは、フラグメントの最大数は 200 です。この最大数を増やす場合は、『Cisco PIX Firewall Command Reference』の fragment size コマンドを参照してください。ファイアウォールは、同時にリアセンブリできる IP フラグメント数を制限しています。この制限は、異常なネットワーク状態にあるファイアウォールでのメモリの枯渇を防ぎます。一般的には、フラグメント化されたトラフィックの割合は全体のトラフィックの数パーセントです。注目すべき例外は、ネットワーク環境における UDP を使用した NFS です。このようなトラフィックがファイアウォールを通過する場合は、代わりに TCP を使用した NFS を検討してください。 フラグメント化を防ぐには、『Cisco PIX Firewall Command Reference』の sysopt connection tcpmss bytes コマンドを参照してください。

推奨する対処方法 このメッセージが続く場合は、DoS (サービス拒絶)攻撃が発生している可能性があります。リモート ピアの管理者または上流プロバイダに連絡してください。

209004

エラー メッセージ %PIX-4-209004: Invalid IP fragment, size = bytes exceeds maximum size = bytes: src = IP_address, dest = IP_address, proto = protocol, id = number

説明 IP フラグメントが変形しました。リアセンブリされた IP パケットの合計サイズが最大サイズの 65,535 バイトを超えています。

推奨する対処方法 侵入行為が発生している可能性があります。このメッセージが続く場合は、リモート ピアの管理者または上流プロバイダに連絡してください。

209005

エラー メッセージ %PIX-4-209005: Discard IP fragment set with more than number elements: src = IP_address, dest = IP_address, proto = protocol, id = number

説明 1 つのフラグメント セットに多くの要素が含まれています。ファイアウォールは、13 ブロック以上にフラグメント化された IP パケットを許可しません。詳細については、『Cisco PIX Firewall Command Reference』の fragment コマンドを参照してください。

推奨する対処方法 侵入行為が発生している可能性があります。このメッセージが続く場合は、リモート ピアの管理者または上流プロバイダに連絡してください。

210001

エラー メッセージ %PIX-3-210001: LU SW_Module_Name error = number

説明 このメッセージが記録されるのは、ステートフル フェールオーバー エラーが発生した場合です。

推奨する対処方法 ファイアウォールを通過するトラフィックが少なくなってからもこのエラーが続く場合は、弊社販売代理店にご連絡ください。

210002

エラー メッセージ %PIX-3-210002: LU allocate block (bytes) failed.

説明 ステートフル フェールオーバーにおいて、スタンバイ ファイアウォールにステートフル情報を転送するためのメモリ ブロックを割り当てることができませんでした。

推奨する対処方法  show interface コマンドを使用して、フェールオーバー インターフェイスの xmit が正常であることをチェックします。さらに、 show block コマンドを使用して現在のブロック メモリもチェックします。メモリ ブロック内の現在の利用可能カウントが 0 の場合は、ファイアウォール ソフトウェアをリロードして失われたメモリ ブロックを復元します。

210003

エラー メッセージ %PIX-3-210003: Unknown LU Object number

説明 ステートフル フェールオーバーにおいて、サポートされていない論理アップデート オブジェクトを受信し、処理することができませんでした。これは、壊れたメモリ、LAN 伝送、およびその他のイベントによって発生した可能性があります。

推奨する対処方法 このエラーがまれにしか生じない場合は、対処する必要はありません。このエラーが頻繁に起きる場合は、ステートフル フェールオーバー リンクの LAN 接続を確認してください。不良なフェールオーバー リンクの LAN 接続によるエラーでない場合は、外部ユーザが保護されたネットワークに危害を加えようとしているのかどうか確認してください。誤って設定されているクライアントがないか調べてください。

210005

エラー メッセージ %PIX-3-210005: LU allocate connection failed

説明 ステートフル フェールオーバーにおいて、スタンバイ装置で新しい接続を割り当てることができません。これは、ファイアウォールに RAM メモリがほとんどない場合に発生します。

推奨する対処方法  show memory コマンドを使用して利用可能なメモリがあるかどうかチェックし、PIX Firewall のシステムに空きメモリがあることを確認します。利用可能なメモリがない場合は、ファイアウォールに物理的なメモリを追加してください。

210006

エラー メッセージ %PIX-3-210006: LU look NAT for IP_address failed

説明 ステートフル フェールオーバーにおいて、スタンバイ装置で IP_address の NAT グループを検出できませんでした。おそらく、アクティブおよびスタンバイ ファイアウォール装置の同期が取れていません。

推奨する対処方法 アクティブ装置で write standby コマンドを使用して、スタンバイ装置とシステム メモリの同期を取ってください。

210007

エラー メッセージ %PIX-3-210007: LU allocate xlate failed

説明 ステートフル フェールオーバーにおいて、変換スロット(xlate)レコードの割り当てに失敗しました。

推奨する対処方法  show memory コマンドを使用して利用可能なメモリがあるかどうかチェックし、PIX Firewall のシステムに空きメモリがあることを確認します。利用可能なメモリがない場合は、メモリを追加してください。

210008

エラー メッセージ %PIX-3-210008: LU no xlate for inside_address/inside_port outside_address/outside_port

説明 ステートフル フェールオーバー接続の変換スロット(xlate)レコードを検出できませんでした。接続情報を処理できません。

推奨する対処方法 アクティブ装置で write standby コマンドを入力して、アクティブ装置とスタンバイ装置間のシステム メモリの同期を取ってください。

210010

エラー メッセージ %PIX-3-210010: LU make UDP connection for outside_address:outside_port inside_address:inside_port failed

説明 ステートフル フェールオーバーにおいて、UDP 接続の新しいレコードの割り当てに失敗しました。

推奨する対処方法  show mem コマンドを使用して利用可能なメモリがあるかどうかチェックし、PIX Firewall のシステムに空きメモリがあることを確認します。利用可能なメモリがない場合は、メモリを追加してください。

210020

エラー メッセージ %PIX-3-210020: LU PAT port port reserve failed

説明 ステートフル フェールオーバーにおいて、使用中の指定 PAT アドレスの割り当てに失敗しました。

推奨する対処方法 このエラーが頻繁に起きる場合は、アクティブ装置で write standby コマンドを使用して、アクティブ装置とスタンバイ装置間のシステム メモリの同期を取ってください。

210021

エラー メッセージ %PIX-3-210021: LU create static xlate global_address ifc interface_name failed

説明 ステートフル フェールオーバーにおいて、変換スロット(xlate)の作成に失敗しました。

推奨する対処方法 このエラーが頻繁に起きる場合は、アクティブ装置で write standby コマンドを使用して、アクティブ装置とスタンバイ装置間のシステム メモリの同期を取ってください。

210022

エラー メッセージ %PIX-6-210022: LU missed number updates

説明 ステートフル フェールオーバーでは、スタンバイ装置に送信された各レコードにシーケンス番号が割り当てられます。受信されたレコードのシーケンス番号が最後にアップデートされたレコード番号と連続していない場合は、中間の情報は失われ、このエラー メッセージが送信されます。

推奨する対処方法 LAN による割り込みがない場合は、両方の PIX Firewall 装置の利用可能メモリをチェックして、ステートフル情報の処理に十分なメモリがあることを確認します。 show failover コマンドを使用して、ステートフル情報のアップデートの質を監視します。

211001

エラー メッセージ %PIX-3-211001: Memory allocation Error

説明 RAM システム メモリの割り当てに失敗しました。

推奨する対処方法 定期的にこのメッセージが発生する場合は、無視できます。頻繁に繰り返される場合は、弊社販売代理店にご連絡ください。

211003

エラー メッセージ %PIX-3-211003: CPU utilization for number seconds = percent

説明 このメッセージが表示されるのは、CPU の使用率が 100% を超えた状態が number で表される秒数の間続く場合です。

推奨する対処方法 このメッセージが頻繁に表示される場合は、弊社販売代理店にご連絡ください。

212001

エラー メッセージ %PIX-3-212001: Unable to open SNMP channel (UDP port port) on interface interface_number, error code = code

説明 SNMP メッセージ。このメッセージは、PIX Firewall がこのインターフェイスにある SNMP 管理ステーションから、ファイアウォール宛ての SNMP 要求の受信に失敗したことを報告しています。これは、任意のインターフェイスを経由して PIX Firewall を通過する SNMP トラフィックには影響しません。

エラー コードが -1 のときは、ファイアウォールがインターフェイスの SNMP 転送を開けなかったことを示します。

エラー コードが -2 のときは、ファイアウォールがインターフェイスの SNMP 転送をバインドできなかったことを示します。

推奨する対処方法 トラフィックが減少し、ファイアウォールがそのリソースの一部を再要求したときに、再度そのインターフェイスに snmp-server host コマンドを発行します。

212002

エラー メッセージ %PIX-3-212002: Unable to open SNMP trap channel (UDP port port) on interface interface_number, error code = code

説明 SNMP メッセージ。このメッセージは、ファイアウォールがこのインターフェイスにある SNMP 管理ステーションの SNMP 要求の送信に失敗したことを報告しています。これは、任意のインターフェイスを経由してファイアウォールを通過する SNMP トラフィックには影響しません。

エラー コードが -1 のときは、ファイアウォールがインターフェイスの SNMP トラップ転送を開けなかったことを示します。

エラー コードが -2 のときは、ファイアウォールがインターフェイスの SNMP トラップ転送をバインドできなかったことを示します。

推奨する対処方法 トラフィックが減少し、ファイアウォールがそのリソースの一部を再要求したときに、再度そのインターフェイスに snmp-server host コマンドを発行します。

212003

エラー メッセージ %PIX-3-212003: Unable to receive an SNMP request on interface interface_number, error code = code, will try again.

説明 SNMP メッセージ。このメッセージが記録されるのは、指定のインターフェイスでファイアウォール宛ての SNMP 要求を受信する際に内部エラーが発生した場合です。

推奨する対処方法 不要。ファイアウォールの SNMP エージェントは、次の SNMP 要求を待ちます。

212004

エラー メッセージ %PIX-3-212004: Unable to send an SNMP response to IP Address IP_address Port port interface interface_number, error code = code

説明 SNMP メッセージ。このメッセージが記録されるのは、ファイアウォールから指定のインターフェイス上の指定ホストへ SNMP 応答を送信する際に内部エラーが発生した場合です。

推奨する対処方法 不要。

212005

エラー メッセージ %PIX-3-212005: incoming SNMP request (number bytes) on interface interface_name exceeds data buffer size, discarding this SNMP request.

説明 SNMP メッセージ。このメッセージは、ファイアウォール宛ての着信 SNMP 要求の長さが、内部処理時に要求を保管する内部データ バッファ(512バイト)のサイズを超えていることを報告しています。したがって、ファイアウォールはこの要求を処理できません。これは、任意のインターフェイスを経由してファイアウォールを通過する SNMP トラフィックには影響しません。

推奨する対処方法 SNMP 管理ステーションに要求の長さを短くして再送信させます。たとえば、複数の MIB 変数を 1 つの要求でクエリーするのではなく、1 つの MIB 変数を 1 つの要求でクエリーするようにします。これには、SNMP 管理ソフトウェアのコンフィギュレーションの変更を伴う場合があります。

213001

エラー メッセージ %PIX-3-213001: PPTP control daemon socket io string, errno = number.

説明 内部 TCP ソケット I/O エラーが発生しました。

推奨する対処方法 この問題については、弊社販売代理店にご連絡ください。

213002

エラー メッセージ %PIX-3-213002: PPTP tunnel hashtable insert failed, peer = IP_address.

説明 新しい PPTP トンネルの作成中に内部ソフトウェア エラーが発生しました。

推奨する対処方法 この問題については、弊社販売代理店にご連絡ください。

213003

エラー メッセージ %PIX-3-213003: PPP virtual interface interface_ number isn't opened.

説明 PPP バーチャル インターフェイスを閉じているときに内部ソフトウェア エラーが発生しました。

推奨する対処方法 この問題については、弊社販売代理店にご連絡ください。

213004

エラー メッセージ %PIX-3-213004: PPP virtual interface interface_ number client ip allocation failed.

説明 PPTP クライアントに IP アドレスを割り当てているときに内部ソフトウェア エラーが発生しました。

推奨する対処方法 このエラーは、IP ローカル アドレス プールが枯渇した場合に発生します。 ip local pool コマンドを使用して、大きいプールを割り当てることを検討してください。

214001

エラー メッセージ %PIX-2-214001: Terminating manager session from IP_address on interface interface_name . Reason: incoming encrypted data ( number bytes) longer than number bytes

説明 PIX Firewall 管理ポート向けの着信暗号化データ パケットのパケット長が、指定した上限を超えています。悪意のある行為の可能性があります。ファイアウォールはただちにこの管理接続を終了します。

推奨する対処方法 管理接続が Cisco Secure Policy Manager によって開始されたことを確認してください。

215001

エラー メッセージ %PIX-2-215001:Bad route_compress() call, sdb= number

説明 内部ソフトウェア エラーが発生しました。

推奨する対処方法 弊社販売代理店にご連絡ください。

メッセージ 302003 ~ 320001

ここでは、302003 ~ 320001 までのメッセージについて説明します。

302003

エラー メッセージ %PIX-6-302003: Built H245 connection for foreign_address outside_address/outside_port local_address inside_address/inside_port

説明 接続関連のメッセージ。 このメッセージが記録されるのは、外部アドレス outside_address からローカル アドレス inside_address に対して、H.245 接続が開始された場合です。このメッセージは、ファイアウォールが Intel インターネット電話の使用を検出した場合に限り生成されます。外部ポート値(outside_port)は、ファイアウォールの外からの接続についてのみ表示されます。ローカル ポート値(inside_port)は、内部インターフェイスから開始された接続についてのみ表示されます。

推奨する対処方法 不要。

302004

エラー メッセージ %PIX-6-302004: Pre-allocate H323 UDP backconnection for foreign_address outside_address/outside_port to local_address inside_address/inside_port

説明 接続関連のメッセージ。 このメッセージが記録されるのは、H.323 UDP バックコネクションがローカル アドレス inside_address から外部アドレス outside_address に事前に割り当てられた場合です。このメッセージは、ファイアウォールが Intel インターネット電話の使用を検出した場合に限り生成されます。外部ポート値(outside_port)は、PIX Firewall の外からの接続についてのみ表示されます。ローカル ポート値(inside_port)は、内部インターフェイスから開始された接続についてのみ表示されます。

推奨する対処方法 不要。

302009

エラー メッセージ %PIX-6-302009: Rebuilt TCP connection number for foreign_address outside_address/outside_port global_address global_address/global_port local_address inside_address/inside_port

説明 接続関連のメッセージ。このメッセージは、フェールオーバー後に TCP 接続が再び確立されたときに生成されます。同期パケットは他方の PIX Firewall に送信されません。
outside_address IPアドレスは外部ホストで、global_address IPアドレスは低セキュリティ レベル インターフェイスのグローバル アドレスで、inside_address IPアドレスは高セキュリティ レベル インターフェイスの PIX Firewall の「後ろ」にあるローカル IP アドレスです。

推奨する対処方法 不要。

302010

エラー メッセージ %PIX-6-302010: connections in use, connections most used

説明 接続関連のメッセージ。 このメッセージは、TCP 接続がリスタートされた後で表示されます。 connections は接続数です。

推奨する対処方法 不要。

302013

エラー メッセージ %PIX-6-302013: Built {inbound|outbound} TCP connection number for interface_name:real_address / real_port ( mapped_address / mapped_port ) to interface_name:real_address / real_port ( mapped_address / mapped_port ) [( user )]

説明 2 ホスト間の TCP 接続のスロットが作成されました。

このメッセージで、

connection number は一意の識別子です。

interface real_address 、および real_port は実際のソケットを示します。

mapped_address mapped_port はマッピングされたソケットを示します。

user はユーザの AAA 名です。

「inbound」が指定される場合、元の制御接続は外部から開始されました。たとえば、FTP で、元の制御チャネルがインバウンド(着信)の場合、すべてのデータ転送チャネルはインバウンドです。「outbound」が指定される場合、元の制御接続は内部から開始されました。

推奨する対処方法 不要。

302014

エラー メッセージ %PIX-6-302014: Teardown TCP connection number for interface_name:real_address / real_port to interface_name:real_address / real_port duration time bytes number [ reason ] [( user )]

説明 2 ホスト間の TCP 接続が削除されました。

このメッセージで、

connection number は一意の識別子です。

interface real_address 、および real_port は実際のソケットを示します。

time は接続の存続時間です。

bytes number は接続のデータ転送です。

user はユーザの AAA 名です。

reason 変数は、接続が終了する原因となるアクションを表します。 reason 変数として、 表 2-2 にリストされている TCP 終了理由の 1 つを設定します。

 

表 2-2 TCP 終了理由

理由
説明

Reset-I

リセットが内部から行われました。

Reset-O

リセットが外部から行われました。

TCP FINs

通常の終了シーケンス。

FIN Timeout

前回の ACK から 15 秒待機した後の強制終了。

SYN Timeout

3 通りのハンドシェイク完了を 2 分間待機した後の強制終了。

Xlate Clear

コマンドラインの削除。

Deny

アプリケーション調査による終了。

SYN Control

正しくないサイドからのバック チャネル開始。

Uauth Deny

URL フィルタによる拒否。

Unknown

あらゆる状況でのエラー。

推奨する対処方法 不要。

302015

エラー メッセージ %PIX-6-302015: Built {inbound|outbound} UDP connection number for interface_name:real_address / real_port ( mapped_address / mapped_port ) to interface_name:real_address / real_port ( mapped_address / mapped_port ) [( user )]

説明 2 ホスト間の TCP 接続スロットが削除されました。

次の説明を参照してください。

connection number :一意の識別子

interface real_address 、および real_port :実際のソケット

mapped_address mapped_port :マッピングされたソケット

user :ユーザの AAA 名

「inbound」が指定される場合、元の制御接続は外部から開始されます。たとえば、FTP で、元の制御チャネルがインバウンド(着信)の場合、すべてのデータ転送チャネルはインバウンドです。「outbound」が指定される場合、元の制御接続は内部から開始されます。

推奨する対処方法 不要。

302016

エラー メッセージ %PIX-6-302016: Teardown UDP connection number for interface_name:real_address / real_port to interface_name:real_address / real_port duration time bytes number [( user )]

説明 2 ホスト間の TCP 接続スロットが削除されました。

このメッセージで、

connection number は一意の識別子です。

interface real_address 、および real_port は実際のソケットです。

time は接続の存続時間です。

bytes bytes は接続のデータ転送です。

user はユーザの AAA 名です。

推奨する対処方法 不要。

302019

エラー メッセージ %PIX-3-302019: H.323 library_name ASN Library failed to initialize, error code number

説明 H.323 メッセージのデコードにファイアウォールが使用する指定 ASN ライブラリの初期化に失敗しました。ファイアウォールは、到着する H.323 パケットをデコードおよび検査できません。 ファイアウォールは、H.323 パケットを無修正で通過させます。 次の H.323 メッセージが到着するときに、ファイアウォールはもう一度ライブラリの初期化を試みます。

推奨する対処方法 このメッセージが常に特定のライブラリについて生成される場合は、弊社販売代理店にご連絡のうえ、すべてのログ メッセージを(可能な場合にはタイムスタンプを明記して)提出してください。

302302

エラー メッセージ %PIX-3-302302: ACL = deny; no sa created

説明 IPSec プロキシの不一致。プロキシは、ネゴシエートされた SAを 拒否 access-list コマンド ポリシーに対応するようにホストします。

推奨する対処方法 コンフィギュレーション内の access-list コマンド文をチェックします。これについては、ピアの管理者に連絡してください。

303002

エラー メッセージ %PIX-6-303002: source_address {Stored|Retrieved} dest_address: mapped_address

説明 FTP/URL メッセージ。このメッセージが記録されるのは、指定されたホストが指定された FTP サイトからのデータ取得または格納を試行する場合です。

推奨する対処方法 不要。

304001

エラー メッセージ %PIX-5-304001: user source_address Accessed {JAVA URL|URL} dest_address: url.

説明 FTP/URL メッセージ。このメッセージが記録されるのは、指定されたホストが指定された URL にアクセスを試行する場合です。

推奨する対処方法 不要。

304002

エラー メッセージ %PIX-5-304002: Access denied URL url SRC IP_address DEST IP_address: url

説明 FTP/URL メッセージ。このメッセージが記録されるのは、発信元アドレスから指定された URL または FTP サイトへのアクセスが拒否された場合です。

推奨する対処方法 不要。

304003

エラー メッセージ %PIX-3-304003: URL Server IP_address timed out URL url

説明 このメッセージが記録されるのは、URL サーバがタイムアウトした場合です。

推奨する対処方法 不要。

304004

エラー メッセージ %PIX-6-304004: URL Server IP_address request failed URL url

説明 FTP/URL メッセージ。このメッセージが記録されるのは、Websense サーバ要求が失敗した場合です。

推奨する対処方法 不要。

304005

エラー メッセージ %PIX-7-304005: URL Server IP_address request pending URL url

説明 FTP/URL メッセージ。このメッセージが記録されるのは、Websense サーバ要求が保留されたときです。

推奨する対処方法 不要。

304006

エラー メッセージ %PIX-3-304006: URL Server IP_address not responding

説明 FTP/URL メッセージ。Websense サーバにアクセスできません。そのサーバがインストールされた唯一のサーバの場合、PIX Firewall は同じサーバにアクセスしようとしているか、または複数のサーバがある場合、PIX Firewall は別のサーバにアクセスしようとしています。

推奨する対処方法 不要。

304007

エラー メッセージ %PIX-2-304007: URL Server IP_address not responding, ENTERING ALLOW mode.

説明 FTP/URL メッセージ。このメッセージが記録されるのは、filter コマンドの allow オプションを使用していて、Websense サーバが応答しなかった場合です。PIX Firewall はサーバが利用できない間、フィルタリングを実行せずに、すべての Web 要求を続行させます。

推奨する対処方法 不要。

304008

エラー メッセージ %PIX-2-304008: LEAVING ALLOW mode, URL Server is up.

説明 FTP/URL メッセージ。このメッセージが記録されるのは、filter コマンドの allow オプションを使用していて、それまで応答のなかった Websense サーバから PIX Firewall が応答を受信した場合です。この応答メッセージを受信した PIX Firewall は、許可モードを終了し、URL フィルタリング機能を再びイネーブルにします。

推奨する対処方法 不要。

304009

エラー メッセージ %PIX-2-304009: Ran out of buffer blocks specified by url-block command

説明 URL ペンディング バッファ ブロックがスペース不足です。

推奨する対処方法  url-block block block_size コマンドを入力して、バッファ ブロックのサイズを変更します。

305005

エラー メッセージ %PIX-3-305005: No translation group found for protocol src interface_name : dest_address / dest_port dst interface_name : source_address / source_port

説明 パケットは、発信 nat ルールのどれにも一致しません。

推奨する対処方法 このメッセージは、設定エラーを示します。発信元ホストでダイナミック NAT が要求される場合は、 nat コマンドが発信元の IP アドレスと一致しているか確認してください。発信元ホストでスタティック NAT が要求される場合は、 static コマンドが発信元の IP アドレスと一致しているか確認してください。発信元ホストで NAT が要求されない場合は、ACL が nat 0 ACL にバインドされていることを確認してください。

305006

エラー メッセージ %PIX-3-305006: Regular translation creation failed for protocol src interface_name:source_address/ source_ port dst interface_name:dest_address/ dest_ port

説明 プロトコル(UDP、TCP、または ICMP)が PIX Firewall を通過する変換を作成できませんでした。このメッセージは、PIX Firewall がネットワークまたはブロードキャスト アドレスにパケットを許可しないことを要求した CSCdr0063 の警告を修正するために表示されます。PIX Firewall は、static コマンド文で明示的に識別できるアドレスに対してこのチェックを行います。この変更により、着信トラフィックにおいてファイアウォールは、IP アドレスの宛先がネットワークまたはブロードキャスト アドレスのときは変換を拒否します。

ファイアウォールは、普通の IP アドレスをネットワークまたはブロードキャスト IP アドレスと区別するために設定された static コマンド文からのグローバル IP およびマスクを利用します。グローバル IP アドレスが一致するネットワーク マスクを持つ有効なネットワーク アドレスである場合、ファイアウォールは着信パケットのネットワーク IP アドレスまたはブロードキャスト IP アドレスに対して xlate を作成しません。

次に例を挙げます。

static (inside,outside) 10.2.2.128 10.1.1.128 netmask 255.255.255.128

グローバル アドレス 10.2.2.128 は、ネットワーク アドレスとして扱い、グローバル アドレス 10.2.2.255 はブロードキャスト アドレスとして扱われます。既存の xlate がない場合、PIX Firewall は 10.2.2.128 または 10.2.2.255 宛ての着信パケットを拒否し、この syslog メッセージを記録します。

推測された IP がホスト IP であった場合、ホスト マスクを持つ別の static コマンド文をサブネット スタティックの前に設定します(static コマンド文の最初の一致ルール)。次の例では、PIX Firewall に 10.2.2.128 をホスト アドレスとして処理させます。

static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.255
static (inside,outside) 10.2.2.128 10.2.2.128 netmask 255.255.255.128

xlate は、尋ねられている IP アドレスを持つ内部ホストから開始されたトラフィックによって作成された可能性があります。PIX Firewall は、ネットワーク IP アドレスまたはブロードキャスト IP アドレスを、重複したサブネット スタティック コンフィギュレーションを持つホスト IP アドレスとして処理するので、両方の static コマンド文のネットワーク アドレス変換は同一である必要があります。

推奨する対処方法 このメッセージは、内部エラーによる場合と設定エラーによる場合があります。

305007

エラー メッセージ %PIX-6-305007: addrpool_free(): Orphan IP IP_address on interface interface_number

説明 PIX Firewall は、どのグローバル プールでも検出できないアドレスを変換しようとしました。PIX Firewall は、アドレスが削除されているとみなして、要求を廃棄します。

推奨する対処方法 不要。

305008

エラー メッセージ %PIX-3-305008: Free unallocated global IP address.

説明 未割り当てのグローバル IP アドレスをアドレス プールに返そうとしたときに、ファイアウォール カーネルが状況の不一致を検出しました。この異常な状況は、ファイアウォールがステートフル フェールオーバーのセットアップを実行していて、一部の内部状況がスタンバイ装置とアクティブ装置で一時的に同期が取れなかった場合に起こる可能性があります。この状況は特に危険ではなく、PIX Firewall は自動的に回復します。

推奨する対処方法 このメッセージが表示され続ける場合は、弊社販売代理店にご連絡ください。

305009

エラー メッセージ %PIX-6-305009: Built {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address

説明 アドレス変換スロットが作成されました。このスロットは、発信元アドレスをローカル用からグローバル用に変換するために使用します。逆に、宛先アドレスをグローバル用からローカル用に変換するためにも使用します。

推奨する対処方法 不要。

305010

エラー メッセージ %PIX-6-305010: Teardown {dynamic|static} translation from interface_name:real_address to interface_name:mapped_address duration time

説明 アドレス変換スロットが削除されました。

推奨する対処方法 不要。

305011

エラー メッセージ %PIX-6-305011: Built {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address / real_port to interface_name:mapped_address / mapped_port

説明 TCP、UDP、または ICMP アドレス変換スロットが作成されました。このスロットは、発信元ソケットをローカル用からグローバル用に変換するために使用します。逆に、宛先ソケットをグローバル用からローカル用に変換するためにも使用します。

推奨する対処方法 不要。

305012

エラー メッセージ %PIX-6-305012: Teardown {dynamic|static} {TCP|UDP|ICMP} translation from interface_name:real_address / real_port to interface_name:mapped_address / mapped_port duration time

説明 アドレス変換スロットが削除されました。

推奨する対処方法 不要。

308001

エラー メッセージ %PIX-6-308001: PIX console enable password incorrect for number tries (from IP_address)

説明 ファイアウォール管理メッセージ。このメッセージが記録されるのは、特権モードに入るユーザがパスワードの入力に number 回失敗した場合です。最大試行回数は 3 回です。

推奨する対処方法 特権モードのパスワードとファイアウォールに Telnet でアクセスするためのパスワードは、必ずしも同じではありません。パスワードを確認し、再試行してください。

308002

エラー メッセージ %PIX-4-308002: static global_address inside_address netmask netmask overlapped with global_address inside_address

説明 このメッセージが記録されるのは、1 つまたは複数の static コマンド文に含まれている IP アドレスが重複している場合です。 global_address は低セキュリティ インターフェイス上のグローバル アドレスで、inside_address は高セキュリティ インターフェイス上のローカル アドレスです。

推奨する対処方法 show static コマンドを使用してコンフィギュレーションの static コマンド文を表示し、重複するコマンドを修正します。最も一般的な重複は、10.1.1.0 というネットワーク アドレスを指定し、別の static コマンド文でその範囲内のホスト(たとえば、10.1.1.5)を指定した場合です。

309002

エラー メッセージ %PIX-6-309002: Permitted manager connection from IP_address.

説明 ファイアウォール管理メッセージ。このメッセージは、指定のアドレスからファイアウォールの管理ポートへの接続が正常に行われたことを示します。

推奨する対処方法 不要。

311001

エラー メッセージ %PIX-6-311001: LU loading standby start

説明 このメッセージは、スタンバイ ファイアウォール装置が初めてオンライン状態になり、ステートフル フェールオーバー アップデート情報がスタンバイ装置に送信された場合に表示されます。

推奨する対処方法 不要。

311002

エラー メッセージ %PIX-6-311002: LU loading standby end

説明 このメッセージは、ステートフル フェールオーバー アップデート情報のスタンバイ装置への送信が完了した場合に表示されます。

推奨する対処方法 不要。

311003

エラー メッセージ %PIX-6-311003: LU recv thread up

説明 このメッセージは、アップデート確認応答がスタンバイ装置から受信された場合に表示されます。

推奨する対処方法 不要。

311004

エラー メッセージ %PIX-6-311004: LU xmit thread up

説明 このメッセージは、ステートフル フェールオーバー アップデートがスタンバイ装置へ伝送された場合に表示されます。

推奨する対処方法 不要。

312001

エラー メッセージ %PIX-6-312001: RIP hdr failed from IP_address: cmd=string, version=number domain=string on interface interface_name

説明 ファイアウォールは、応答以外のオペレーション コード付き RIP メッセージを受信し、メッセージにはこのインターフェイスでは予想していなかったバージョン番号があり、ルーティング ドメイン エントリはゼロ以外でした。

推奨する対処方法 このメッセージは情報ですが、別の RIP 装置がファイアウォールと通信するために正しく設定されていない可能性を示しています。

313001

エラー メッセージ %PIX-3-313001: Denied ICMP type=number, code=code from IP_address on interface interface_name

説明 icmp コマンドをアクセス リストと使用する場合は、最初に一致したエントリが許可エントリであれば、ICMP パケットの処理は継続されます。最初に一致したエントリが拒否エントリまたはエントリが一致しなかった場合は、ファイアウォールは ICMP パケットを廃棄し、この syslog メッセージを生成します。 icmp コマンドは、インターフェイスへの ping をイネーブルまたはディセーブルにします。ping をディセーブルにした場合、ファイアウォールをネットワーク上で検出できません。この機能は、設定可能なプロキシ ping とも呼ばれます。

推奨する対処方法 これについては、ピア デバイスの管理者に連絡してください。

313003

エラー メッセージ %PIX-4-313003: Invalid destination for ICMP error

説明 ICMP エラー メッセージの宛先が、メッセージの原因となった IP パケットの発信元と異なっています。

推奨する対処方法 メッセージが頻繁に表示される場合は、ネットワークがプローブされている、ICMP エラー メッセージを変換チャネルとして使用しようとしている、または IP ホストが誤動作していることが考えられます。ICMP エラー メッセージの送信元であるホストの管理者に連絡してください。

314001

エラー メッセージ %PIX-6-314001: Pre-allocate RTSP UDP backconnection for foreign_address outside_address/outside_port to local_address inside_address/inside_port

説明 ファイアウォールは、指定の IP アドレスおよびポートに対して RTSP 接続をオープンしました。

推奨する対処方法 不要。

315004

エラー メッセージ %PIX-3-315004: Fail to establish SSH session because PIX RSA host key retrieval failed.

説明 この SSH メッセージは、PIX Firewall が PIX Firewall 装置の RSA ホスト キー(SSH セッションを確立するために必要)を検出できないときに表示されます。ファイアウォール ホスト キーは、そのホスト キーが生成されなかった、またはこの PIX Firewall のライセンスが DES または 3DES を許可していないために、欠如している場合があります。

推奨する対処方法 コンソールからshow ca mypubkey rsa コマンドを入力して、PIX Firewall 装置の RSA ホスト キーがあるかどうか確認してください。ホスト キーがない場合は、さらに show version を入力して PIX Firewall 装置のライセンスが DES または 3DES を許可しているかどうか確認してください。

315011

エラー メッセージ %PIX-6-315011: SSH session from IP_address on interface interface_name for user user disconnected by SSH server, reason: reason

説明 このメッセージは、SSH セッションが終了した後で表示されます。ユーザが quit または exit を入力すると、「 terminated normally 」というメッセージが表示されます。 他の理由でセッションが切断された場合は、その理由が表示されます。 表 2-3 に、セッションが切断された場合に考えられる理由を示します。

 

表 2-3 SSH 切断理由

文字列
説明
対処方法

Bad checkbytes

SSH キーの交換時にチェック バイトでミスマッチが検出されました。

SSH セッションを再起動します。

CRC check failed

指定のパケットに対して計算された CRC 値がパケットに埋め込まれた CRC 値と一致しません。パケットは不良です。

不要。メッセージが続く場合は、弊社販売代理店にご連絡ください。

Decryption failure

SSH キー交換時に SSH セッション キーの復号化に失敗しました。

RSA ホスト キーをチェックして、再度実行してください。

Format error

SSH バージョン交換時に非プロトコル バージョン メッセージが受信されました。

SSH クライアントをチェックして、サポートされているバージョンかどうか確認してください。

Internal error

このメッセージは、ファイアウォール上での SSH の内部エラー、またはファイアウォールで RSA キーが入力されていない、または RSA キーが取得できないことを示します。

ファイアウォールのコンソールから show ca mypubkey rsa を入力して RSA ホスト キーがあることを確認してください。RSA ホスト キーがない場合は、 show version コマンドを入力して DES または 3DES が許可されているかどうか確認してください。RSA ホスト がある場合は、SSH セッションを再起動してください。

Invalid cipher type

SSH クライアントは、サポートされていない暗号を要求しました。

show version コマンドを入力して、ライセンスが何の機能をサポートしているか判別し、SSH クライアントがサポートされている暗号を使用するように再設定してください。

Invalid message length

ファイアウォールに着信する SSH メッセージの長さが 262,144 バイトを超えるか、4,096 バイトより短くなっています。データが壊れている可能性があります。

不要。

Invalid message type

ファイアウォールは、非 SSH メッセージか、未サポートまたは不要な SSH メッセージを受信しました。

ピアが SSH クライアントであるかどうかをチェックします。ピアがクライアントをサポートする SSHv1 である場合、およびメッセージが連続する場合は、ファイアウォール シリアル コンソールから debug ssh コマンドを入力し、デバッグ メッセージを取得します。弊社販売代理店にご連絡ください。

Out of memory

このメッセージは、PIX Firewall が、SSH サーバが使用するためのメモリの割り当てに失敗した場合に表示されます。トラフィックが混んでおり、ファイアウォールがその処理に対応しているためです。

後で SSH セッションを起動します。

Rejected by server

ユーザ認証に失敗しました。

ユーザにユーザ名とパスワードの確認を依頼します。

Reset by client

SSH クライアントが SSH_MSG_DISCONNECT メッセージをファイアウォールに送信しました。

不要。

status code: hex ( hex )

ユーザ(複数)が SSH クライアント ウィンドウ(Windows で実行中の)を、SH コンソールで quit または exit と入力しないでクローズしました。

不要。ユーザに、クライアントを終了する場合は適切に終了するように説明してください。

Terminated by operator

SSH セッションは、ファイアウォール コンソールで ssh disconnect コマンドによって終了されました。

不要。

Time-out activated

SSH セッションは、ssh timeout コマンドで指定された期間を超過したためタイムアウトしました。

SSH 接続をリスタートします。ssh timeout コマンドを使用して、必要であれば、デフォルト値の 5 分から 60 分まで増加させることができます。

316001

エラー メッセージ %PIX-2-316001: Denied new tunnel to IP_address. VPN peer limit ( platform_vpn_peer_limit) exceeded

説明 プラットホームの VPN ピア制限よりも多くの VPN トンネル(ISAKMP/IPSec)を同時に確立しようとすると、超過したトンネルは打ち切られます。

推奨する対処方法 不要。

317001

エラー メッセージ %PIX-3-317001: No memory available for limit_slow

説明 メモリが少ない状態であるため、要求された操作が失敗しました。

推奨する対処方法 他のシステム アクティビティを減らして、メモリ必要量を減らします。 必要に応じて、大量のメモリを備える構成にアップグレードしてください。

317002

エラー メッセージ %PIX-3-317002: Bad path index of number for IP_address , number max

説明 ソフトウェア エラーが発生しました。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

317003

エラー メッセージ %PIX-3-317003: IP routing table creation failure - reason

説明 内部ソフトウェア エラーが発生したため、新しい IP ルーティング テーブルを作成できませんでした。

推奨する対処方法 表示されるメッセージをそのままコピーして、弊社販売代理店にご連絡ください。

317004

エラー メッセージ %PIX-3-317004: IP routing table limit warning

説明 名前付き IP ルーティング テーブル内のルートの数が、設定済みの警告制限数に達しました。

推奨する対処方法 テーブル内のルートの数を減らすか、制限数を設定し直してください。

317005

エラー メッセージ %PIX-3-317005: IP routing table limit exceeded - reason , IP_address netmask

説明 後続の要求は、テーブルに追加されます。

推奨する対処方法 テーブル内のルートの数を減らすか、制限数を設定し直してください。

318001

エラー メッセージ %PIX-3-318001: Internal error: reason

説明 内部ソフトウェア エラーが発生しました。 このメッセージは、5 秒間隔で発生します。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

318002

エラー メッセージ %PIX-3-318002: Flagged as being an ABR without a backbone area

説明 ルータは、ルータ内にバックボーン領域が設定されていない領域境界ルータとしてフラグが付けられました。 このメッセージは、5 秒間隔で発生します。

推奨する対処方法 OSPF プロセスを再起動します。

318003

エラー メッセージ %PIX-3-318003: Reached unknown state in neighbor state machine

説明 内部ソフトウェア エラーが発生しました。 このメッセージは、5 秒間隔で発生します。

推奨する対処方法 不要。

318004

エラー メッセージ %PIX-3-318004: area string lsid IP_address mask netmask adv IP_address type number

説明 OSPF で LSA の検索に問題が発生したために、メモリ リークが発生した可能性があります。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

318005

エラー メッセージ %PIX-3-318005: lsid IP_address adv IP_address type number gateway gateway_address metric number network IP_address mask netmask protocol hex attr hex net-metric number

説明 OSPF によって、OSPF データベースと IP ルーティング テーブルの間に矛盾が見つかりました。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

318006

エラー メッセージ %PIX-3-318006: if interface_name if_state number

説明 内部エラーが発生しました。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

318007

エラー メッセージ %PIX-3-318007: OSPF is enabled on interface_name during idb initialization

説明 内部エラーが発生しました。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

318008

エラー メッセージ %PIX-3-318008: OSPF process number is changing router-id. Reconfigure virtual link neighbors with our new router-id

説明 OSPF プロセスがリセットされ、OSPF プロセスは新しいルータ ID を選択しようとしています。この動作によって、仮想リンクがすべて切断されます。 仮想リンクを再び機能させるには、すべての仮想リンク隣接ルータ上で、仮想リンクの設定を変更する必要があります。

推奨する対処方法 すべての仮想リンク近接ルータ上で仮想リンクの設定を変更して、新しいルータ ID が反映されるようにします。

320001

エラー メッセージ %PIX-3-320001: The subject name of the peer cert is not allowed for connection

説明 ファイアウォールが Easy VPN Remote デバイスまたは Easy VPN Server である場合は、ピア証明書の中に、 ca verifycertdn コマンドと一致しないサブジェクト名が含まれています。

推奨する対処方法 このメッセージは、Man-in-the-Middle 攻撃を受けた可能性があることを示します。この攻撃は、デバイスを利用してピアの IP アドレスをスプーフィングし、ファイアウォールから VPN 接続を代行受信しようとするものです。

メッセージ 400000 ~ 409013

ここでは、400000 ~ 409013 までのメッセージについて説明します。

4000nn

エラー メッセージ %PIX-4-4000nn: IDS:number st ring from IP_address to IP_address on interface interface_name

説明 メッセージ 400000 ~ 400051 は、Cisco Intrusion Detection System シグニチャ メッセージです。

推奨する対処方法 詳細については、『Cisco Intrusion Detection System Version 2.2.1 User Guide』を参照してください。各シグニチャ番号(number)について説明している「NSDB and Signatures」の章は、次の Web サイトで参照できます。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

すべてのシグニチャ メッセージは、このリリースのファイアウォールではサポートされていません。IDS syslog メッセージは、すべて %PIX-4-4000nn で始まり、次の形式で表示されます。

%PIX-4-4000nn IDS:number string from IP_address to IP_address on interface interface_name

オプションは次のとおりです。

 

number

シグニチャ番号。次の Web サイトにある、『Cisco Intrusion Detection System Version 2.2.1 User Guide』を参照してください。

http://www.cisco.com/univercd/cc/td/doc/product/iaabu/csids/csids1/csidsug/sigs.htm

string

シグニチャ メッセージ:NetRanger シグニチャ メッセージとほぼ同じです。

IP_address

シグニチャを適用できるローカルからリモートのアドレスです。

interface_name

シグニチャが作られたインターフェイス名です。

次に例を挙げます。

%PIX-4-400013 IDS:2003 ICMP redirect from 10.4.1.2 to 10.2.1.1 on interface dmz
%PIX-4-400032 IDS:4051 UDP Snork attack from 10.1.1.1 to 192.168.1.1 on interface outside
 

表 2-4 に、サポートされるシグニチャ メッセージをリストします。

 

表 2-4 IDS Syslog メッセージ

メッセージ番号
シグニチャ ID
シグニチャ タイトル
シグニチャ
タイプ

400000

1000

IP オプション:不良オプション リスト

情報

400001

1001

IP オプション:記録パケット ルート

情報

400002

1002

IP オプション:タイムスタンプ

情報

400003

1003

IP オプション:セキュリティ

情報

400004

1004

IP オプション:発信元ルートの損失

情報

400005

1005

IP オプション:SATNET ID

情報

400006

1006

IP オプション:完全発信元ルート

情報

400007

1100

IP フラグメント攻撃

攻撃

400008

1102

IP 不可能パケット

攻撃

400009

1103

IP フラグメント重複

攻撃

400010

2000

ICMP エコー応答

情報

400011

2001

ICMP ホスト到達不能

情報

400012

2002

ICMP Source Quench

情報

400013

2003

ICMP リダイレクト

情報

400014

2004

ICMP エコー要求

情報

400015

2005

データグラムの ICMP タイム超過

情報

400016

2006

データグラム上の ICMP パラメータ問題

情報

400017

2007

ICMP タイムスタンプ要求

情報

400018

2008

ICMP タイムスタンプ応答

情報

400019

2009

ICMP 情報要求

情報

400020

2010

ICMP 情報応答

情報

400021

2011

ICMP アドレス マスク要求

情報

400022

2012

ICMP アドレス マスク応答

情報

400023

2150

フラグメント化された ICMP トラフィック

攻撃

400024

2151

大きい ICMP トラフィック

攻撃

400025

2154

Ping of Death 攻撃

攻撃

400026

3040

TCP NULL フラグ

攻撃

400027

3041

TCP SYN+FIN フラグ

攻撃

400028

3042

TCP FIN のみのフラグ

攻撃

400029

3153

FTP に誤ったアドレスを指定

情報

400030

3154

FTP に誤ったポートを指定

情報

400031

4050

UDP Bomb 攻撃

攻撃

400032

4051

UDP Snork 攻撃

攻撃

400033

4052

UDP Chargen DoS 攻撃

攻撃

400034

6050

DNS HINFO 要求

攻撃

400035

6051

DNS ゾーン転送

攻撃

400036

6052

ハイ ポートからの DNS ゾーン転送

攻撃

400037

6053

すべての記録の DNS 要求

攻撃

400038

6100

RPC ポート登録

情報

400039

6101

RPC ポート非登録

情報

400040

6102

RPC Dump

情報

400041

6103

プロキシの RPC 要求

攻撃

400042

6150

ypserv (YP サーバ デーモン) Portmap 要求

情報

400043

6151

ypbind (YP バインド デーモン) Portmap 要求

情報

400044

6152

yppasswdd (YP パスワード デーモン) Portmap 要求

情報

400045

6153

ypupdated(YP アップデート デーモン) Portmap 要求

情報

400046

6154

ypxfrd (YP 転送デーモン)Portmap 要求

情報

400047

6155

mountd (マウント デーモン)Portmap 要求

情報

400048

6175

rexd (リモート実行デーモン)Portmap 要求

情報

400049

6180

rexd (リモート実行デーモン)攻撃

情報

400050

6190

statd バッファ オーバフロー

攻撃

401001

エラー メッセージ %PIX-4-401001: Shuns cleared

説明  clear shun コマンドが入力され、メモリから既存の排除を削除しました。

推奨する対処方法 不要。このメッセージは、排除アクティビティの記録を許可するときに表示されます。

401002

エラー メッセージ %PIX-4-401002: Shun added: IP_address IP_address port port

説明 最初の IP アドレスが排除されたホストである場合に、 shun コマンドが発行されました。それ以外のアドレスとポートはオプションであり、使用可能な場合には接続の終了に使用されます。

推奨する対処方法 不要。このメッセージは、排除アクティビティの記録を許可するときに表示されます。

401003

エラー メッセージ %PIX-4-401003: Shun deleted: IP_address

説明 1 つの排除ホストが排除データベースから削除されました。

推奨する対処方法 不要。このメッセージは、排除アクティビティの記録を許可するときに表示されます。

401004

エラー メッセージ %PIX-4-401004: Shunned packet: IP_address ==> IP_address on interface interface_name

説明 IP src で定義されたホストが排除データベースに含まれているホストであるために、パケットが廃棄されました。排除されたホストは、排除されているインターフェイス上でトラフィックを渡すことはできません。たとえば、インターネット上の外部ホストは、外部インターフェイスでは排除できます。

推奨する対処方法 不要。このメッセージは、排除されたホストのアクティビティの記録を表示します。このメッセージと %PIX-4-401005 を使用して、このホストに関する詳細なリスク評価を行うことができます。

401005

エラー メッセージ %PIX-4-401005: Shun add failed: unable to allocate resources for IP_address IP_address port port

説明 ファイアウォールのメモリが不足しています。排除を適用できませんでした。

推奨する対処方法 Cisco Intrusion Detection System では、このルールを継続して適用する必要があります。メモリの再要求と排除の再適用を手動で実行するか、Cisco Intrusion Detection System によって実行されるまで待ちます。

402101

エラー メッセージ %PIX-4-402101: decaps: rec'd IPSEC packet has invalid spi for destaddr=dest_address, prot=protocol, spi=number

説明 受信 IPSec パケットは、SADB に存在しないセキュリティ パラメータ インデックス(SPI)を指定します。これは、IPSec ピア間における SA の経過時間のわずかな差による一時的な状況によるものか、または、ローカルの SA が消去されたためです。あるいは、IPSec ピアが誤ったパケットを送信したためです。これも攻撃の 1 つです。

推奨する対処方法 ピアは、ローカルの SA が消去されたことを認識しない場合があります。ローカル ルータからの新しい接続が確立する場合、2 つのピア間で再確立されます。それ以外で、この問題が長く続いた場合は、新しい接続が確立されるように試行するか、ピアの管理者に連絡してください。

402102

エラー メッセージ %PIX-4-402102: decapsulate: packet missing {AH|ESP}, destadr= dest_address , actual prot=protocol

説明 受信 IPSec パケットに含まれるべき AH または ESP ヘッダがありませんでした。ピアは、ネゴシエートされたセキュリティ ポリシーと一致しないパケットを送信しています。攻撃を受けている可能性があります。

推奨する対処方法 ピアの管理者に連絡してください。

402103

エラー メッセージ %PIX-4-402103: identity doesn't match negotiated identity (ip) dest_address= dest_address, src_addr= source_address, prot= protocol, (ident) local=inside_address, remote=remote_address, local_proxy=IP_address/IP_address/port/port, remote_proxy=IP_address/IP_address/port/port

説明 非カプセル化 IPSec パケットが、ネゴシエートされた ID と一致しません。ピアは、このセキュリティ結合を通して別のトラフィックを送信しています。ピアによるセキュリティ結合の選択エラーの可能性があります。悪意のある行為の可能性があります。

推奨する対処方法 ピアの管理者に連絡して、ポリシー設定を比較してください。

402106

エラー メッセージ %PIX-4-402106: Rec'd packet not an IPSEC packet (ip) dest_address= dest_address, src_addr= source_address, prot= protocol

説明 受信パケットは暗号マップ ACL と一致しましたが、IPSec カプセル化ではありませんでした。 IPSec ピアは、非カプセル化パケットを送信しています。このエラーは、ピア上でのポリシー設定エラーが原因で起こります。 たとえば、ファイアウォールが受け入れるのが、外部インターフェイスのポート 23 宛ての暗号化 Telnet トラフィックだけだとします。この場合、IPSec 暗号化を実行せずに外部インターフェイスのポート 23 に Telnet 接続しようとすると、このメッセージが表示されます。 また、このエラーは悪意のある行為があったことを示している場合もあります。 この syslog メッセージが生成されるのは、上の条件に該当する場合だけです。たとえば、ファイアウォール インターフェイス宛てのトラフィックに関してこのメッセージが生成されることはありません。 TCP 要求と UDP 要求を追跡するメッセージについては、メッセージ 710001 、メッセージ 710002 、およびメッセージ 710003 を参照してください。

推奨する対処方法 ピアの管理者に連絡して、ポリシー設定を比較してください。

403101

エラー メッセージ %PIX-4-403101: PPTP session state not established, but received an XGRE packet, tunnel_id=number, session_id=number

説明 ファイアウォールは、対応する制御接続セッションのない PPTP XGRE パケットを受信しました。

推奨する対処方法 このメッセージが頻繁に表示される場合は、弊社販売代理店にご連絡ください。

403102

エラー メッセージ %PIX-4-403102: PPP virtual interface interface_name rcvd pkt with invalid protocol: protocol, reason: reason.

説明 ファイアウォールは、無効なプロトコル フィールドを持つ XGRE カプセル化 PPP パケットを受信しました。

推奨する対処方法 このメッセージが頻繁に表示される場合は、弊社販売代理店にご連絡ください。

403103

エラー メッセージ %PIX-4-403103: PPP virtual interface max connections reached.

説明 ファイアウォールは、追加の PPTP 接続を受けることはできません。

推奨する対処方法 不要。接続は、開放されるとただちに割り当てられます。

403104

エラー メッセージ %PIX-4-403104: PPP virtual interface interface_name requires mschap for MPPE.

説明 MPPE は設定されていますが、MS-CHAP 認証は設定されていません。

推奨する対処方法  vpdn group group_name ppp authentication コマンドを使用して、MS-CHAP 認証を追加してください。

403106

エラー メッセージ %PIX-4-403106: PPP virtual interface interface_name requires RADIUS for MPPE.

説明 MPPE は設定されていますが、RADIUS 認証は設定されていません。

推奨する対処方法  vpdn group group_name ppp authentication コマンドを使用して、RADIUS 認証を追加してください。

403107

エラー メッセージ %PIX-4-403107: PPP virtual interface interface_name missing aaa server group info

説明 AAA サーバ設定情報が見つかりません。

推奨する対処方法  vpdn group group_name client authentication aaa aaa_server_group コマンドを使用して、AAA サーバ情報を追加してください。

403108

エラー メッセージ %PIX-4-403108: PPP virtual interface interface_name missing client ip address option

説明 クライアント IP アドレス プール情報がありません。

推奨する対処方法  vpdn group group_name client configuration address local address_pool_name コマンドを使用して、IP アドレス プール情報を追加してください。

403109

エラー メッセージ %PIX-4-403109: Rec'd packet not an PPTP packet. (ip) dest_address= dest_address, src_addr= source_address, data: string.

説明 ファイアウォールは、スプーフィングされた PPTP パケットを受信しました。悪意のある行為の可能性があります。

推奨する対処方法 ピアの管理者に連絡して、PPTP コンフィギュレーション設定を調べてください。

403110

エラー メッセージ %PIX-4-403110: PPP virtual interface interface_name , user: user missing MPPE key from aaa server.

説明 AAA サーバは、MPPE 暗号化ポリシーを設定するために必要な MPPE キー属性を返信していません。

推奨する対処方法 AAA サーバ設定をチェックします。AAA サーバが MPPE キー属性を返信できない場合は、 vpdn group group_name client authentication local コマンドの代わりに、ローカル認証を使用してください。

403500

エラー メッセージ %PIX-6-403500: PPPoE - Service name 'any' not received in PADO. Intf: interface_name AC: ac_name .

説明 ファイアウォールは、インターネット サービス プロバイダのアクセス コントローラから PPPoE サービス「any」を要求しました。 サービス プロバイダからの応答には、他のサービスが含まれていますが、サービス「any」が含まれていません。 これは、プロトコルの実装における不一致です。PADO パケットは通常どおり処理され、接続のネゴシエーションは継続します。

推奨する対処方法 不要。

403501

エラー メッセージ %PIX-3-403501: PPPoE - Bad host-unique in PADO - packet dropped. Intf: interface_name AC: ac_name

説明 ファイアウォールは、アクセス コントローラに向けて「host-unique」値と呼ばれる識別子を送信しました。アクセス コントローラは異なる「host-unique」値で応答しました。PIX Firewall はこの応答に対応する接続要求を識別できません。パケットは廃棄され、接続のネゴシエーションは中止されます。

推奨する対処方法 インターネット サービス プロバイダに連絡してください。サービス プロバイダのアクセス コントローラが「host-unique」値の処理を誤ったか、または PADO パケットが偽造されたことが原因です。

403502

エラー メッセージ %PIX-3-403502: PPPoE - Bad host-unique in PADS - dropping packet. Intf: interface_name AC: ac_name

説明 ファイアウォールは、アクセス コントローラに向けて「host-unique」値と呼ばれる識別子を送信しました。アクセス コントローラは異なる「host-unique」値で応答しました。PIX Firewall はこの応答に対応する接続要求を識別できません。パケットが廃棄され、接続のネゴシエーションは中止されました。

推奨する対処方法 インターネット サービス プロバイダに連絡してください。サービス プロバイダのアクセス コントローラが「host-unique」値の処理を誤ったか、または PADO パケットが偽造されたことが原因です。

403503

エラー メッセージ %PIX-3-403503: PPPoE:PPP link down: reason

説明 PPP リンクがダウンしました。いくつかの理由が挙げられます。メッセージ中にその理由が表示されます。

推奨する対処方法 ネットワーク リンクをチェックして、リンクが接続されていることを確認します。アクセス コンセントレータがダウンしている可能性もあります。ご使用の認証プロトコルがアクセス コンセントレータと一致していることを確認してください。また、名前とパスワードが正しいことを確認します。ISP またはネットワーク サポート担当者に問い合せてください。

403504

エラー メッセージ %PIX-3-403504: PPPoE:No 'vpdn group' for PPPoE is created

説明 PPPoE では、PPPoE セッションを開始する前に、ダイヤルアウト設定を行う必要があります。通常は、ダイヤル ポリシー、PPP 認証、およびユーザ名とパスワードを指定します。次に示すのは、PPPoE ダイヤルアウトを行うファイアウォールの設定の例です。アクセス コンセントレータの認証には、必要に応じて PAP を使用して、my-username および my-password も使用されます。

次に例を挙げます。

vpdn group my-pppoe request dialout pppoe
vpdn group my-pppoe ppp authentication pap
vpdn group my-pppoe localname my-username
vpdn username my-username password my-password
ip address outside pppoe setroute

推奨する対処方法 PPPoE 用に VPDN グループを設定する必要があります。

403505d

エラー メッセージ %PIX-3-403505d: PPPoE:PPP - Unable to set default route to IP_address at interface_name

説明 このメッセージの後ろには、通常、「 - default route already exists 」が続きます。

推奨する対処方法 現在のデフォルト ルートを削除するか、「setroute」パラメータを削除して、PPPoE と手動設定したルートの間で競合がないようにします。

403506

エラー メッセージ %PIX-3-403506: PPPoE:failed to assign PPP IP_address netmask netmask at interface_name

説明 このメッセージの後ろには、「 - subnet is the same as interface 」または「 on failover channel 」が続きます。

推奨する対処方法 前者の場合は、競合の原因となるアドレスを変更します。後者の場合は、フェールオーバー インターフェイスではないインターフェイス上に PPPoE を設定します。

404101

エラー メッセージ %PIX-4-404101: ISAKMP: Failed to allocate address for client from pool string

説明 ISAKMP は、ip local pool コマンド文で指定したプールの VPN クライアント用の IP アドレス割り当てに失敗しました。

推奨する対処方法 ip local pool コマンドを使用して、プールに追加 IP アドレスを指定します。

405001

エラー メッセージ %PIX-4-405001: Received ARP {request | response} collision from IP_address / mac_address on interface interface_name

説明 ファイアウォールは ARP パケットを受信し、パケット内の MAC アドレスが ARP キャッシュ エントリと異なっています。

推奨する対処方法 このトラフィックは正当なものです。または、ARP Poisoning 攻撃が発生している可能性があります。 発信元 MAC アドレスをチェックして、パケットがどこから送信されているか、および発信元が有効なホストに属しているかどうかを確認します。

405002

エラー メッセージ %PIX-4-405002: Received mac mismatch collision from IP_address / mac_address for authenticated host

説明 このパケットは、次のいずれかの条件を満たす場合に現れます。

ファイアウォールは同じ IP アドレスを持つパケットを受信したが、パケットの uauth エントリの 1 つで、MAC アドレスが異なっている。

ファイアウォール上で vpnclient mac-exempt コマンドを設定し、除外 MAC アドレスを持つパケットをファイアウォールが受信したが、対応する uauth エントリとは IP アドレスが異なっている。

推奨する対処方法 このトラフィックは正当なものです。または、スプーフィング攻撃が発生している可能性があります。 発信元の MAC アドレスと IP アドレスをチェックして、パケットがどこから送信されているか、および発信元が有効なホストに属しているかどうかを確認します。

405101

エラー メッセージ %PIX-4-405101: Unable to Pre-allocate H225 Call Signalling Connection for foreign_address outside_address[/outside_port] to local_address inside_address[/inside_port]

説明 ファイアウォールは、接続の開始時に、または利用できるアドレス変換スロットがないため、RAM システム メモリの割り当てに失敗しました。

推奨する対処方法 定期的にこのメッセージが発生する場合は、無視できます。頻繁に繰り返される場合は、弊社販売代理店にご連絡ください。内部ネットワーク クライアント数とグローバル プールのサイズをチェックして比較してください。PAT アドレスが必要になることもあります。または、xlates および接続のタイムアウト インターバルを短くしてください。この状況は、メモリ不足が原因で生じることもあります。メモリ使用量を減らすか、メモリを購入して拡張してください。

405102

エラー メッセージ %PIX-4-405102: Unable to Pre-allocate H245 Connection for foreign_address outside_address[/outside_port] to local_address inside_address[/inside_port]

説明 ファイアウォールは、接続の開始時に、または利用できるアドレス変換スロットがないため、RAM システム メモリの割り当てに失敗しました。

推奨する対処方法 定期的にこのメッセージが発生する場合は、無視できます。頻繁に繰り返される場合は、弊社販売代理店にご連絡ください。内部ネットワーク クライアント数とグローバル プールのサイズをチェックして比較してください。PAT アドレスが必要になることもあります。または、xlates および接続のタイムアウト インターバルを短くしてください。この状況は、メモリ不足が原因で生じることもあります。メモリ使用量を減らすか、メモリを購入して拡張してください。

405104

エラー メッセージ %PIX-4-405104: H225 message received from outside_address / outside_port to inside_address / inside_port before SETUP

説明 このメッセージは、H.225 メッセージが正常に受信されない場合に表示されます。H.225 メッセージを初期 SETUP メッセージの前に受信しましたが、これは認められません。PIX Firewall では、その H.225 コール シグナリング チャネルに対して初期 SETUP メッセージを受け取ってからでなければ、その他の H.225 メッセージを受け取れません。

推奨する対処方法 不要。

406001

エラー メッセージ %PIX-4-406001: FTP port command low port: IP_address / port to IP_address on interface interface_name

説明 ftp port コマンドを発行したクライアントが、1024 未満(通常、サーバ ポート専用として知られているポート範囲内)のポートを指定しました。これは、サイトのセキュリティ ポリシーを回避するためと考えられます。ファイアウォールはそのパケットを廃棄し、接続を終了して、そのイベントのログを記録します。

推奨する対処方法 不要。

406002

エラー メッセージ %PIX-4-406002: FTP port command different address: IP_address ( IP_address ) to IP_address on interface interface_name

説明 ftp port コマンドを発行したクライアントが、接続で使用するアドレス以外のアドレスを指定しました。これは、サイトのセキュリティ ポリシーを回避するためと考えられます。PIX Firewall はそのパケットを廃棄し、接続を終了して、そのイベントのログを記録します。

推奨する対処方法 不要。

407001

エラー メッセージ %PIX-4-407001: Deny traffic for local-host interface_name:inside_address , license limit of number exceeded

説明 ホストの制限を超過しました。次のいずれかの状態に当てははまるときに、内部ホストのカウントが制限に近づいていきます。

内部ホストがこの 5 分間に PIX Firewall 経由でトラフィックを転送した。

内部ホストが xlate 接続または PIX Firewall でのユーザ認証を予約した。

推奨する対処方法 ホストの制限は、ローエンド プラットフォームで制御されます。
show version
コマンドを使用すると、ホストの制限を表示できます。 show local-host コマンドを使用すると、現在アクティブなホストとファイアウォールでセッションを使用している内部ユーザを表示できます。1 人または複数のユーザを強制的に切断するには、 clear local-host コマンドを使用します。内部ユーザをより迅速に無効にするには、xlate、connection、および uauth の各タイムアウトを推奨値以下に設定します( 表 2-5 参照)。

 

表 2-5 タイムアウトと推奨値

タイムアウト
推奨値

xlate

00:05:00 (5 分)

conn

00:01:00 (1 時間)

uauth

00:05:00 (5 分)

407002

エラー メッセージ %PIX-3-407002: Embryonic limit neconns / elimit for through connections exceeded. outside_address / outside_port to global_address ( inside_address )/ inside_port on interface interface_name

説明 これはファイアウォールを経由する接続に関するメッセージです。このメッセージが記録されるのは、指定の外部アドレスから指定のグローバル アドレスを経由して指定のローカル アドレスへ向かう接続の数が、スタティック接続の初期接続の最大数を超過した場合です。ファイアウォールは、接続に対してメモリを割り当てることができる場合に、その接続を受け入れようとします。これはローカル ホストの代理となり、SYN_ACK パケットが外部ホストに送信されます。ファイアウォールは関連するステート情報を保持し、パケットをドロップし、クライアントによる確認応答を待機します。

推奨する対処方法 正当なトラフィックであるか、または DoS (サービス拒絶)攻撃が発生している可能性があります。発信元アドレスをチェックして、パケットがどこから送信され、発信元は有効なホストであるのかを確認します。

408001

エラー メッセージ %PIX-4-408001: IP route counter negative - reason , IP_address Attempt: number

説明 IP ルート カウンタを負の値まで減らそうとして失敗しました。

推奨する対処方法  clear ip route * コマンドを入力して、ルート カウンタをリセットします。 このメッセージが引き続き何度も表示される場合は、表示されるメッセージをそのままコピーして、弊社販売代理店にご連絡ください。

409001

エラー メッセージ %PIX-4-409001: Database scanner: external LSA IP_address netmask is lost, reinstalls

説明 ソフトウェアが、予期されていない状態を検出しました。 ルータは修復操作を実行して、動作を続行します。

推奨する対処方法 不要。

409002

エラー メッセージ %PIX-4-409002: db_free: external LSA IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨する対処方法 不要。

409003

エラー メッセージ %PIX-4-409003: Received invalid packet: reason from IP_address , interface_name

説明 無効な OSPF パケットを受信しました。 詳細はエラー メッセージに記述されています。 原因としては、OSPF 設定が正しくないか、送信側で内部エラーが発生したことが考えられます。

推奨する対処方法 受信側の OSPF 設定と送信側の設定をチェックして、矛盾がないかどうかを確認します。

409004

エラー メッセージ %PIX-4-409004: Received reason from unknown neighbor IP_address

説明 OSPF hello パケット、データベース記述パケット、またはデータベース要求パケットを受信しましたが、ルータは送信側を識別できませんでした。

推奨する対処方法 この状態を是正する必要があります。

409005

エラー メッセージ %PIX-4-409005: Invalid length number in OSPF packet from IP_address (ID IP_address ), interface_name

説明 システムは OSPF パケットを受信しましたが、OSPF パケットのフィールド長が通常のヘッダー サイズよりも短いか、到着時の IP パケットのサイズと一致していません。 これは、パケットの送信側に設定エラーがあることを示しています。

推奨する対処方法 近接アドレスの中から問題のあるルータを見つけて、再度ブートします。

409006

エラー メッセージ %PIX-4-409006: Invalid lsa: reason Type number , LSID IP_address from IP_address , IP_address , interface_name

説明 ルータは、無効な LSA タイプを持つ LSA を受信しました。 原因は、ルータのメモリ内容の破損、または予期されていないルータ動作のいずれかです。

推奨する対処方法 近接アドレスの中から問題のあるルータを見つけて、再度ブートします。 問題の原因を特定するには、弊社販売代理店にご連絡ください。

409007

エラー メッセージ %PIX-4-409007: Found LSA with the same host bit set but using different mask LSA ID IP_address netmask New: Destination IP_address netmask

説明 内部ソフトウェア エラーが発生しました。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

409008

エラー メッセージ %PIX-4-409008: Found generating default LSA with non-zero mask LSA type : number Mask : IP_address metric : number area : string

説明 内部ソフトウェア エラーが発生したため、ルータは、誤ったマスクを使用してデフォルトの LSA を生成しようとしました。誤ったメトリックが使用された可能性もあります。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

409009

エラー メッセージ %PIX-4-409009: OSPF process number cannot start. There must be at least one up IP interface, for OSPF to use as router ID

説明 ルータのいずれかのインターフェイスの IP アドレスからルータ ID を割り当てようとしているときに、OSPF が失敗しました。

推奨する対処方法 インターフェイスが少なくとも 1 つ動作していて、かつ有効な IP アドレスを持っていることを確認してください。 ルータ上で複数の OSPF プロセスを実行している場合は、それらのプロセスごとに一意のルータ ID が必要です。十分な数のインターフェイスを動作させて、各プロセスがルータ ID を取得できるようにする必要があります。

409010

エラー メッセージ %PIX-4-409010: Virtual link information found in non-backbone area: string

説明 内部エラーが発生しました。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

409011

エラー メッセージ %PIX-4-409011: OSPF detected duplicate router-id IP_address from IP_address on interface interface_name

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ近隣ルータから hello パケットを受信しました。 完全な隣接関係を確立できません。

推奨する対処方法 OSPF ルータ ID を一意なものにする必要があります。 近隣ルータのルータ ID を変更してください。

409012

エラー メッセージ %PIX-4-409012: Detected router with duplicate router ID IP_address in area string

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ近隣ルータから hello パケットを受信しました。 完全な隣接関係を確立できません。

推奨する対処方法 OSPF ルータ ID を一意なものにする必要があります。 近隣ルータのルータ ID を変更してください。

409013

エラー メッセージ %PIX-4-409013: Detected router with duplicate router ID IP_address in Type-4 LSA advertised by IP_address

説明 OSPF は、このルーティング プロセスと同じルータ ID を持つ近隣ルータから hello パケットを受信しました。 完全な隣接関係を確立できません。

推奨する対処方法 OSPF ルータ ID を一意なものにする必要があります。 近隣ルータのルータ ID を変更してください。

メッセージ 500001 ~ 503001

ここでは、500001 ~ 503001 までのメッセージについて説明します。

500001

エラー メッセージ %PIX-5-500001: ActiveX content modified src IP_address dest IP_address on interface interface_name.

説明 このメッセージが記録されるのは、filter コマンドを使用して activex オプションをイネーブルにし、ファイアウォールが ActiveX オブジェクトを検出した後です。activex オプションによって、ファイアウォールは HTML オブジェクトとしてタグ付けされないように AcitveX コンテンツを変更し、ActiveX コンテンツをフィルタリングして除外します。

推奨する対処方法  不要。

500002

エラー メッセージ %PIX-5-500002: Java content modified src IP_address dest IP_address on interface interface_name.

説明 このメッセージが記録されるのは、filter コマンドを使用して java オプションをイネーブルにし、ファイアウォールが Java アプレットを検出した後です。java オプションによって、ファイアウォールは HTML オブジェクトとしてタグ付けされないように AcitveX コンテンツを変更し、Java コンテンツをフィルタリングして除外します。

推奨する対処方法  不要。

500003

エラー メッセージ %PIX-5-500003: Bad TCP hdr length (hdrlen=bytes, pktlen=bytes) from source_address/source_port to dest_address/dest_port, flags: tcp_flags, on interface interface_name

説明 このメッセージは、TCP のヘッダー長が誤っていることを示します。オペレーティング システムによっては、ディセーブルにされたソケットに対する接続要求に応答するときに、TCP RST (リセット)を正しく処理できない場合もあります。クライアントがファイアウォールの外にある FTP サーバに接続しようとしていても FTP が受信していなければ、サーバは RST を送信します。オペレーティング システムによっては、誤った TCP ヘッダー長を送信するため、このような問題が起きます。UDP は、ICMP ポート到達不能メッセージを使用します。

TCP ヘッダー長は、転送されている負数のバイトとなるパケット長よりも大きいことを示します。負数は、syslog では、通常よりはるかに大きく見える未指定の数として表示されます。たとえば、1 秒で 4GB を転送したと表示されます。

推奨する対処方法 不要。このメッセージは、頻繁には発生しません。

500004

エラー メッセージ %PIX-4-500004: Invalid transport field for protocol=protocol, from source_address / source_port to dest_address / dest_port

説明 このメッセージは、無効な転送番号がある場合に表示されます(プロトコルの発信元または宛先のポート番号が 0 のとき)。protocol フィールドは、TCP では 6、UDP では 17 です。

推奨する対処方法 このメッセージが続く場合は、ピアの管理者に連絡してください。

501101

エラー メッセージ %PIX-5-501101: User transitioning priv level

説明 コマンドの優先順位レベルが変更されました。

推奨する対処方法 不要。

502101

エラー メッセージ %PIX-5-502101: New user added to local dbase: Uname: user Priv: privilege_level Encpass: string

説明 新しいユーザ名のレコードが作成されました。 このメッセージには、ユーザ名、優先順位レベル、および暗号化されたパスワードが含まれています。

推奨する対処方法 不要。

502102

エラー メッセージ %PIX-5-502102: User deleted from local dbase: Uname: user Priv: privilege_level Encpass: string

説明 ユーザ名のレコードが削除されました。 このメッセージには、ユーザ名、優先順位レベル、および暗号化されたパスワードが含まれています。

推奨する対処方法 不要。

502103

エラー メッセージ %PIX-5-502103: User priv level changed: Uname: user From: privilege_level To: privilege_level

説明 ユーザの優先順位レベルが変更されました。

推奨する対処方法 不要。

503001

エラー メッセージ %PIX-5-503001: Process number, Nbr IP_address on interface_name from string to string , reason

説明 OSPF 近隣ルータのステートが変更されました。 このメッセージには、変更内容と変更理由が記述されています。 このメッセージが表示されるのは、OSPF プロセスに対して log-adjacency-changes コマンドが設定されている場合だけです。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

メッセージ 602101 ~ 620002

ここでは、602101 ~ 620002 までのメッセージについて説明します。

602101

エラー メッセージ %PIX-6-602101: PMTU-D packet number bytes greater than effective mtu number dest_addr=dest_address, src_addr=source_address, prot=protocol

説明 このメッセージは、ファイアウォールが ICMP 宛先到達不能メッセージを送信し、フラグメント化が必要な場合に発生します(フラグメント化しないことを指定するビットが設定されている)。

推奨する対処方法 データが正しく送信されていることを確認してください。

602102

エラー メッセージ %PIX-6-602102: Adjusting IPSec tunnel mtu...

説明 IPSec トンネルの MTU が、Path MTU Discovery によって調整されました。

推奨する対処方法 IPSec トンネルで MTU をチェックします。有効な MTU が通常より小さい場合は、中間リンクをチェックしてください。

602301

エラー メッセージ %PIX-6-602301: sa created...

説明 新しい SA (セキュリティ結合)が作成されました。

推奨する対処方法 情報メッセージ。

602302

エラー メッセージ %PIX-6-602302: deleting sa

説明 SA が 1 つ削除されました。

推奨する対処方法 情報メッセージ。

603101

エラー メッセージ %PIX-6-603101: PPTP received out of seq or duplicate pkt, tnl_id=number, sess_id=number, seq=number.

説明 ファイアウォールは、順序が変更された、または複製された PPTP パケットを受信しました。

推奨する対処方法 パケット カウントが高い場合は、ピアの管理者に連絡してクライアント PPTP コンフィギュレーションをチェックしてください。

603102

エラー メッセージ %PIX-6-603102: PPP virtual interface interface_name - user: user aaa authentication started.

説明 ファイアウォールは、AAA サーバに認証要求を送信しました。

推奨する対処方法 不要。

603103

エラー メッセージ %PIX-6-603103: PPP virtual interface interface_name - user: user aaa authentication status

説明 ファイアウォールは、AAA サーバより認証応答を受信しました。

推奨する対処方法 不要。

603104

エラー メッセージ %PIX-6-603104: PPTP Tunnel created, tunnel_id is number , remote_peer_ip is remote_address , ppp_virtual_interface_id is number , client_dynamic_ip is IP_address , username is user , MPPE_key_strength is string

説明 PPTP トンネルが作成されました。

推奨する対処方法 不要。

603105

エラー メッセージ %PIX-6-603105: PPTP Tunnel deleted, tunnel_id = number, remote_peer_ip= remote_address

説明 PPTP トンネルが削除されました。

推奨する対処方法 不要。

603106

エラー メッセージ %PIX-6-603106: L2TP Tunnel created, tunnel_id is number, remote_peer_ip is remote_address, ppp_virtual_interface_id is number, client_dynamic_ip is IP_address, username is user

説明 L2TP トンネルが作成されました。

推奨する対処方法 不要。

603107

エラー メッセージ %PIX-6-603107: L2TP Tunnel deleted, tunnel_id = number, remote_peer_ip = remote_address

説明 L2TP トンネルが削除されました。

推奨する対処方法 不要。

603108

エラー メッセージ %PIX-6-603108: Built PPTP Tunnel at interface_name , tunnel-id = number , remote-peer = IP_ address , virtual-interface = number , client-dynamic-ip = IP_ address , username = user , MPPE-key-strength = number

説明 このメッセージは、新しい PPPoE トンネルが作成されるたびに表示されます。

推奨する対処方法 不要。

603109

エラー メッセージ %PIX-6-603109: Teardown PPPOE Tunnel at interface_name , tunnel-id = number , remote-peer = IP_ address

説明 このメッセージは、新しい PPPoE トンネルが削除されるたびに表示されます。

推奨する対処方法 不要。

604101

エラー メッセージ %PIX-6-604101: DHCP client interface interface_name: Allocated ip = IP_address, mask = net mask, gw = gateway_address

説明 ファイアウォール DHCP クライアントは、DHCP サーバから IP アドレスを取得しました。dhcpc コマンド文を使用すると、ファイアウォールはネットワーク インターフェイスの IP_address およびネットワーク mask を、デフォルト ルートからだけでなく DHCP サーバからも取得することができます。デフォルト ルート ステートメントは、gateway_address をデフォルト ルータのアドレスとして使用します。

推奨する対処方法 不要。

604102

エラー メッセージ %PIX-6-604102: DHCP client interface interface_name: address released

説明 ファイアウォール DHCP クライアントは、割り当てられた IP アドレスを DHCP サーバへ送信しました。

推奨する対処方法 不要。

604103

エラー メッセージ %PIX-6-604103: DHCP daemon interface interface_name: address granted MAC_address (IP_address)

説明 ファイアウォール DHCP サーバは、外部クライアントに IP アドレスを付与しました。

推奨する対処方法 不要。

604104

エラー メッセージ %PIX-6-604104: DHCP daemon interface interface_name: address released

説明 外部クライアントは、IP アドレスをファイアウォール DHCP サーバへ返信しました。

推奨する対処方法 不要。

605004

エラー メッセージ %PIX-6-605004: Login denied from { source_address / source_port | serial} to { interface_name:dest_address / service | console} for user " user "

説明 このメッセージは、不正なログイン試行が終了した後で表示されます。 ファイアウォールは、1 セッションにつき 3 回のログイン試行を許可します。 3 回目のログイン試行が失敗すると、ファイアウォールはセッションを終了します。 SSH ログインと Telnet ログインの場合は、3 回目のログイン失敗後、または少なくとも 1 回ログイン試行が失敗した後にメッセージが生成されます。TCP セッションは、3 回目の試行前に終了します。 その他のあらゆる管理ログインの場合は、ログイン試行が失敗するたびにメッセージが生成されます。

推奨する対処方法 このエラーがまれにしか生じない場合は、対処する必要はありません。このメッセージが頻繁に表示される場合は、攻撃を示している可能性があります。ユーザに通知してユーザ名とパスワードを確認してください。

605005

エラー メッセージ %PIX-6-605005: Login permitted from { source_address / source_port | serial} to { interface_name:dest_address / service | console} for user " user "

説明 このメッセージは、ユーザが正常に認証され、管理セッションが開始されたときに表示されます。

推奨する対処方法 不要。

606001

エラー メッセージ %PIX-6-606001: PDM session number number from IP_address started

説明 このメッセージは、管理者が正常に認証され、PDM セッションが開始されたことを示します。

推奨する対処方法 不要。

606002

エラー メッセージ %PIX-6-606002: PDM session number number from IP_address ended

説明 このメッセージは、PDM セッションが終了したことを示します。

推奨する対処方法 不要。

607001

エラー メッセージ %PIX-6-607001: Pre-allocate SIP connection_type secondary channel for interface_name:IP_address/port to interface_name:IP_address from string message

説明 このメッセージは、SIP メッセージの検査後に fixup sip コマンドが SIP 接続を割り当てたことを示します。 connection_type は、次のいずれかの文字列です。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

推奨する対処方法 不要。

608001

エラー メッセージ %PIX-6-608001: Pre-allocate Skinny connection_type secondary channel for interface_name:IP_address to interface_name:IP_address/port from string message

説明 このメッセージは、Skinny メッセージの検査後に fixup skinny コマンドが Skinny 接続を割り当てたことを示します。 connection_type は、次のいずれかの文字列です。

SIGNALLING UDP

SIGNALLING TCP

SUBSCRIBE UDP

SUBSCRIBE TCP

Via UDP

Route

RTP

RTCP

推奨する対処方法 不要。

609001

エラー メッセージ %PIX-6-609001: Built local-host interface_name:IP_address

説明 ネットワーク ステート コンテナがインターフェイス interface_name に接続されたホスト IP_address 用に予約されています。これは情報メッセージです。

推奨する対処方法 不要。

609002

エラー メッセージ %PIX-6-609002: Teardown local-host interface_name:IP_address duration time

説明 インターフェイス interface_name に接続されたホスト IP_address のネットワーク ステート コンテナが削除されています。これは情報メッセージです。

推奨する対処方法 不要。

610001

エラー メッセージ %PIX-3-610001: NTP daemon interface interface_name: Packet denied from IP_address

説明 設定済みの NTP サーバのどれにも一致しないホストからの NTP パケットを受け取りました。ファイアウォールは NTP クライアントであり、タイム サーバではないため、NTP 要求には応答しません。

推奨する対処方法 不要。

610002

エラー メッセージ %PIX-3-610002: NTP daemon interface interface_name: Authentication failed for packet from IP_address

説明 受信した NTP パケットの認証に失敗しました。

推奨する対処方法 ファイアウォールおよび NTP サーバの両方が、認証を使用し、同じキー番号および値を使用していることを確認します。

610101

エラー メッセージ %PIX-6-610101: Authorization failed: Cmd: command Cmdtype: command_modifier

説明 特定のコマンドのコマンド認証に失敗しました。 command_modifier は、次のいずれかの文字列です。

cmd (この文字列は、コマンドに修飾子がないことを示す)

clear

no

show

説明 上の 4 つのコマンド タイプ以外の値が指定されていた場合、ファイアウォールは「 unknown command type 」というメッセージを表示します。

推奨する対処方法 不要。

611101

エラー メッセージ %PIX-6-611101: User authentication succeeded: Uname: user

説明 ファイアウォールにアクセスするときのユーザ認証に成功しました。

推奨する対処方法 不要。

611102

エラー メッセージ %PIX-6-611102: User authentication failed: Uname: user

説明 ファイアウォールにアクセスするときのユーザ認証に失敗しました。

推奨する対処方法 不要。

611103

エラー メッセージ %PIX-5-611103: User logged out: Uname: user

説明 指定のユーザがログアウトしました。

推奨する対処方法 不要。

611104

エラー メッセージ %PIX-5-611104: Serial console idle timeout exceeded

説明 ユーザのアクティビティがなかったため、ファイアウォール シリアル コンソールに対して設定したアイドル タイムアウトの値を超えました。

推奨する対処方法 不要。

611301

エラー メッセージ %PIX-6-611301: VPNClient: NAT configured for Client Mode with no split tunneling: NAT addr: mapped_address

説明 クライアント モードの VPN クライアント ポリシー(分割トンネリングなし)が実装されました。

推奨する対処方法 不要。

611302

エラー メッセージ %PIX-6-611302: VPNClient: NAT exemption configured for Network Extension Mode with no split tunneling

説明  ネットワーク拡張モードの VPN クライアント ポリシー(分割トンネリングなし)が実装されました。

推奨する対処方法 不要。

611303

エラー メッセージ %PIX-6-611303: VPNClient: NAT configured for Client Mode with split tunneling: NAT addr: mapped_address Split Tunnel Networks: IP_address/netmask IP_address/netmask ...

説明 クライアント モードの VPN クライアント ポリシー(分割トンネリングあり)が実装されました。

推奨する対処方法 不要。

611304

エラー メッセージ %PIX-6-611304: VPNClient: NAT exemption configured for Network Extension Mode with split tunneling: Split Tunnel Networks: IP_address/netmask IP_address/netmask ...

説明 ネットワーク拡張モードの VPN クライアント ポリシー(分割トンネリングあり)が実装されました。

推奨する対処方法 不要。

611305

エラー メッセージ %PIX-6-611305: VPNClient: DHCP Policy installed: Primary DNS: IP_address Secondary DNS: IP_address Primary WINS: IP_address Secondary WINS: IP_address

説明  DHCP に対する VPN クライアント モードが実装されました。

推奨する対処方法 不要。

611306

エラー メッセージ %PIX-6-611306: VPNClient: Perfect Forward Secrecy Policy installed

説明  VPN クライアント ダウンロード ポリシーの一部として、完全転送秘密が設定されました。

推奨する対処方法 不要。

611307

エラー メッセージ %PIX-6-611307: VPNClient: Head end : IP_address

説明  VPN クライアントは指定のヘッドエンドに接続されています。

推奨する対処方法 不要。

611308

エラー メッセージ %PIX-6-611308: VPNClient: Split DNS Policy installed: List of domains: string string ...

説明 VPN クライアント ダウンロード ポリシーの一部として、分割 DNS ポリシーが実装されました。

推奨する対処方法 不要。

611309

エラー メッセージ %PIX-6-611309: VPNClient: Disconnecting from head end and uninstalling previously downloaded policy: Head End : IP_address

説明 VPN クライアントが以前に実装されたポリシーを接続解除および実装解除しています。

推奨する対処方法 不要。

611310

エラー メッセージ %PIX-6-611310: VNPClient: XAUTH Succeeded: Peer: IP_address

説明 VPN クライアント の Xauth が指定のヘッドエンドに成功しました。

推奨する対処方法 不要。

611311

エラー メッセージ %PIX-6-611311: VNPClient: XAUTH Failed: Peer: IP_address

説明  VPN クライアント の Xauth が指定のヘッドエンドに失敗しました。

推奨する対処方法 不要。

611312

エラー メッセージ %PIX-6-611312: VPNClient: Backup Server List: reason

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、Easy VPN Server がバックアップ サーバのリストをファイアウォールにダウンロードしたことを示します。 このリストは、管理者がローカルに設定したバックアップ サーバをすべて上書きします。 ダウンロードされたリストが空である場合、ファイアウォールはバックアップ サーバを使用しません。 reason は、次のいずれかのメッセージです。

バックアップ サーバの IP アドレスのリスト

Received NULL list. Deleting current backup servers.

推奨する対処方法 不要。

611313

エラー メッセージ %PIX-3-611313: VPNClient: Backup Server List Error: reason

説明 ファイアウォールが Easy VPN Remote デバイスであり、Easy VPN Server がファイアウォールにバックアップ サーバのリストをダウンロードする場合、このメッセージは、リスト内に無効な IP アドレスまたはホスト名が含まれていることを示します。 ファイアウォールは DNS をサポートしないため、 name コマンドを使用して手作業でホスト名を IP アドレスにマップしない限り、サーバのホスト名はサポートされません。

推奨する対処方法 Easy VPN Server 上で、サーバの IP アドレスが正しいことを確認し、ホスト名ではなく IP アドレスを使用してサーバを設定します。 サーバ上でホスト名を使用する必要がある場合は、Easy VPN Remote デバイス上で name コマンドを使用して、IP アドレスをホスト名にマップします。

611314

エラー メッセージ %PIX-6-611314: VPNClient: Load Balancing Cluster with Virtual IP: IP_address has redirected the PIX to server IP_address

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ロード バランシング クラスタのマスター サーバがファイアウォールをリダイレクトして、特定のサーバに接続させました。

推奨する対処方法 不要。

611315

エラー メッセージ %PIX-6-611315: VPNClient: Disconnecting from Load Balancing Cluster member IP_address

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、デバイスがロード バランシング クラスタ サーバから切断されたことを示します。

推奨する対処方法 不要。

611316

エラー メッセージ %PIX-6-611316: VPNClient: Secure Unit Authentication Enabled

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによってセキュア ユニット認証(SUA)がイネーブルになりました。

推奨する対処方法 不要。

611317

エラー メッセージ %PIX-6-611317: VPNClient: Secure Unit Authentication Disabled

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによってセキュア ユニット認証(SUA)がディセーブルになりました。

推奨する対処方法 不要。

611318

エラー メッセージ %PIX-6-611318: VPNClient: User Authentication Enabled: Auth Server IP: IP_address Auth Server Port: port Idle Timeout: time

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによって、ファイアウォール内側のネットワークのユーザに対する個々のユーザの認証(IUA)がイネーブルになりました。

IP_address :ファイアウォールが認証要求を送信する宛先サーバの IP アドレス

port :ファイアウォールが認証要求を送信する宛先サーバのポート

time :認証クレデンシャルのアイドル タイムアウト値

推奨する対処方法 不要。

611319

エラー メッセージ %PIX-6-611319: VPNClient: User Authentication Disabled

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによって、ファイアウォール内側のネットワークのユーザに対する個々のユーザの認証(IUA)がディセーブルになりました。

推奨する対処方法 不要。

611320

エラー メッセージ %PIX-6-611320: VPNClient: Device Pass Thru Enabled

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによってデバイスのパススルーがイネーブルになりました。 デバイスのパススルー機能は、個々のユーザ認証(IUA)がイネーブルになっているときに、認証を実行できないデバイス(IP 電話など)を認証対象から除外できるようにします。

推奨する対処方法 不要。 Easy VPN Server でこの機能がイネーブルになっている場合は、ファイアウォール上で vpnclient mac-exempt コマンドを使用して、認証(IUA)から除外するデバイスを指定できます。

611321

エラー メッセージ %PIX-6-611321: VPNClient: Device Pass Thru Disabled

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによってデバイスのパススルーがディセーブルになりました。

推奨する対処方法 不要。

611322

エラー メッセージ %PIX-6-611322: VPNClient: Extended XAUTH conversation initiated when SUA disabled

説明 ファイアウォールが VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーによってセキュア ユニット認証(SUA)がディセーブルになった場合、Easy VPN Server は 2 要素(SecurID と CRYPTOCard)ベースの認証メカニズムを利用し、XAUTH を使用してファイアウォールを認証します。

推奨する対処方法 Easy VPN Remote デバイスの認証に 2 要素(SecureID と CRYPTOCard)ベースの認証メカニズムを利用する場合は、サーバ上で SUA をイネーブルにします。

611323

エラー メッセージ %PIX-6-611323: VPNClient: Duplicate split nw entry

説明 ファイアウォールが Easy VPN Remote デバイスであるときに、ダウンロードした VPN ポリシーに重複スプリット ネットワーク エントリが含まれていることを示します。 ネットワーク アドレスとネットワーク マスクが両方とも一致している場合は、エントリが重複していると考えられます。

推奨する対処方法 Easy VPN Server 上の VPN ポリシーから、重複スプリット ネットワーク エントリを削除します。

612001

エラー メッセージ %PIX-5-612001: Auto Update succeeded: filename , version: number

説明 Auto Update Server からのアップデートが成功しました。 filename 変数には PIX image、PDM file、または configuration を指定します。 version number 変数にはアップデートのバージョン番号を指定します。

推奨する対処方法 不要。

612002

エラー メッセージ %PIX-4-612002: Auto Update failed: filename , version: number , reason: reason

説明 Auto Update Server からのアップデートが失敗したことを示します。 filename 変数には PIX image、PDM file、または configuration を指定します。 version number 変数にはアップデートのバージョン番号を指定します。 reason 変数にはアップデートが失敗した理由が示されます。考えられる原因には、無効なイメージ ファイル、サーバへの接続の損失、設定エラーなどがあります。

推奨する対処方法 Auto Update Server の設定をチェックします。

612003

エラー メッセージ %PIX-4-612003:Auto Update failed to contact: url , reason: reason

説明 Auto Update デーモンが指定の URL url にアクセスできないことを示します。この URL は、Auto Update Server の URL か、Auto Update Server から返されたファイル サーバの URL の 1 つです。 reason フィールドにはアクセスが失敗した理由が示されます。考えられる原因には、サーバからの応答がない、認証が失敗した、ファイルが見つからない、などがあります。

推奨する対処方法 Auto Update Server の設定をチェックします。

613001

エラー メッセージ %PIX-6-613001: Checksum Failure in database in area string Link State Id IP_address Old Checksum number New Checksum number

説明 OSPF は、データベース内にメモリ内容の破損によるチェックサム エラーを検出しました。

推奨する対処方法 OSPF プロセスを再起動します。

613002

エラー メッセージ %PIX-6-613002: interface interface_name has zero bandwidth

説明 インターフェイスは、帯域幅が 0 であると報告しています。

推奨する対処方法 問題の原因を特定するには、弊社販売代理店にご連絡ください。

613003

エラー メッセージ %PIX-6-613003: IP_address netmask changed from area string to area string

説明 OSPF の設定が変更されたため、ネットワーク範囲の領域が変更されました。

推奨する対処方法 OSPF を正しいネットワーク範囲で再設定します。

614001

エラー メッセージ %PIX-6-614001: Split DNS: request patched from server: IP_address to server: IP_address

説明 分割 DNS が、元の宛先サーバから一次エンタープライズ DNS サーバへ、DNS クエリーをリダイレクトしています。

推奨する対処方法 不要。

614002

エラー メッセージ %PIX-6-614002: Split DNS: reply from server: IP_address reverse patched back to original server: IP_address

説明 分割 DNS が、エンタープライズ DNS サーバから元の宛先サーバへ、DNS クエリーをリダイレクトしています。

推奨する対処方法 不要。

620001

エラー メッセージ %PIX-6-620001: Pre-allocate CTIQBE {RTP | RTCP} secondary channel for interface_name : outside_address [/ outside_port ] to interface_name : inside_address [/ inside_port ] from CTIQBE_message_name message

説明 ファイアウォールは、指定された CTIQBE メディア トラフィック用の接続オブジェクトを事前に割り当てます。

推奨する対処方法 不要。

620002

エラー メッセージ %PIX-4-620002: Unsupported CTIQBE version: hex : from interface_name : IP_address / port to interface_name : IP_address / port

説明 ファイアウォールは、サポートされないバージョン番号を持つ CTIQBE メッセージを受信しました。 ファイアウォールはパケットをドロップします。

推奨する対処方法 ログ メッセージ内にキャプチャされているバージョン番号が非常に大きい場合(10 を超えている場合)は、パケットが正しい形式になっていないか、CTIQBE パケットではない可能性があります。または、ファイアウォール到着前に破損した可能性があります。 パケットの発信元を特定することを推奨します。 バージョン番号が非常に小さい場合(10 以下の場合)は、この CTIQBE バージョンをサポートする新しいファイアウォール イメージがないかどうかについて、弊社販売代理店にお問い合せください。

メッセージ 701001 ~ 710006

ここでは、701001 ~ 710006 までのメッセージについて説明します。

701001

エラー メッセージ %PIX-7-701001: alloc_user() out of Tcp_user objects

説明 AAA メッセージ。このメッセージが記録されるのは、ユーザ認証レートが大きすぎて、ファイアウォールが新しい AAA 要求を処理できない場合です。

推奨する対処方法 floodguard enable コマンドで、Flood Defender をイネーブルにしてください。

702301

エラー メッセージ %PIX-7-702301: lifetime expiring...

説明 SA ライフタイムの期限が切れました。

推奨する対処方法 デバッグ用のメッセージです。

702302

エラー メッセージ %PIX-3-702302: replay rollover detected...

説明 40 億個以上のパケットが IPSec トンネルに受信されたため、新しいトンネルをネゴシエートしています。

推奨する対処方法 ピアの管理者に連絡して、SA ライフタイム設定を比較してください。

702303

エラー メッセージ %PIX-7-702303: sa_request...

説明 IPSec は、新しい SA を IKE に要求しました。

推奨する対処方法 デバッグ用のメッセージです。

703001

エラー メッセージ %PIX-7-703001: H.225 message received from interface_name : ip_address / port to interface_name : ip_address / port is using an unsupported version number

説明 ファイアウォールは、サポートされないバージョン番号を持つ H.323 パケットを受信しました。 ファイアウォールは、パケットのプロトコル バージョン番号フィールドを再符号化して、サポートされている最新バージョンにします。

推奨する対処方法 VoIP ネットワークでの使用をファイアウォールがサポートしているバージョンの H.323 を使用します。

703002

エラー メッセージ %PIX-7-703002: Received H.225 Release Complete with newConnectionNeeded for interface_name : ip_address to interface_name : ip_address / port

説明 指定された H.225 メッセージをファイアウォールが受信し、指定された 2 つの H.323 エンドポイント用に新しいシグナリング接続オブジェクトを開いたことを示すデバッグ メッセージです。

推奨する対処方法 不要。

709001, 709002

エラー メッセージ %PIX-7-709001: FO replication failed: cmd=command returned= code エラー メッセージ %PIX-7-709002: FO unreplicable: cmd=command

説明 これらのフェールオーバー メッセージは、開発デバッグ テスト段階でのみ表示されます。

推奨する対処方法 不要。

709003

エラー メッセージ %PIX-1-709003: (Primary) Beginning configuration replication: Receiving from mate.

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が開始されたときです。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

709004

エラー メッセージ %PIX-1-709004: (Primary) End Configuration Replication (ACT)

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、アクティブ装置からスタンバイ装置へのコンフィギュレーションの複製が終了した場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

709005

エラー メッセージ %PIX-1-709005: (Primary) Beginning configuration replication: Receiving from mate.

説明 このメッセージは、スタンバイ ファイアウォールがアクティブ ファイアウォールから、コンフィギュレーションの複製の最初の部分を受信したことを示しています。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

709006

エラー メッセージ %PIX-1-709006: (Primary) End Configuration Replication (STB)

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製が終了した場合です。セカンダリ装置では、「(Primary)」は「(Secondary)」に置き換えられます。

推奨する対処方法 不要。

709007

エラー メッセージ %PIX-2-709007: Configuration replication failed for command command

説明 フェールオーバー メッセージ。このメッセージが記録されるのは、スタンバイ装置がアクティブ装置から送信されたコンフィギュレーションの複製が終了できなかった場合です。失敗が発生したコマンドは、メッセージの最後に表示されます。

推奨する対処方法 コマンド名をメモして、弊社販売代理店にご連絡ください。

710001

エラー メッセージ %PIX-7-710001: TCP access requested from source_address / source_port to interface_name:dest_address / service

説明 このメッセージは、ファイアウォール宛ての最初の TCP パケットが TCP セッションの確立を要求するときに表示されます。 このパケットは、3 ウェイ ハンドシェイクの最初の SYN パケットです。このメッセージは、所定のアクセス コントロール リスト(telnet、http、または ssh)がパケットを許可したときに表示されます。 ただし、SYN cookie 検証はまだ完了していないため、ステートは予約されません。

推奨する対処方法 不要。

710002

エラー メッセージ %PIX-7-710002: {TCP|UDP} access permitted from source_address / source_port to interface_name:dest_address / service

説明 TCP 接続の場合、このメッセージは、ファイアウォール宛ての 2 番目の TCP パケットが TCP セッションの確立を要求するときに表示されます。 このパケットは、3 ウェイ ハンドシェイクの最後の ACK です。 このメッセージは、所定のアクセス コントロール リスト(TELNET、HTTP、または SSH)がパケットを許可するときに表示されます。 また、SYN cookie 検証が正常に終了し、ステートが TCP セッション用に予約されます。 UDP 接続の場合は、接続が許可されました。 たとえば、ファイアウォールが認証済み SNMP 管理ステーションから SNMP 要求を受信して、その要求が処理されたときに、このメッセージが(サービス snmp を使用して)表示されます。 サービスが snmp である場合、このメッセージは最高で 10 秒に 1 回しか発生せず、ログの受信側が過負荷にならないようにしています。

推奨する対処方法 不要。

710003

エラー メッセージ %PIX-3-710003: {TCP|UDP} access denied by ACL from source_address / source_port to interface_name:dest_address / service

説明 このメッセージは、インターフェイス サービスへの接続試行をファイアウォールが拒否するときに表示されます。 たとえば、ファイアウォールが未認証の SNMP 管理ステーションから SNMP 要求を受信したときに、このメッセージが(サービス snmp を使用して)表示されます。

推奨する対処方法  show http コマンド、 show ssh コマンド、または show telnet コマンドを使用して、当該のホストまたはネットワークからのサービス アクセスを許可するようにファイアウォールが設定されていることを確認してください。このメッセージが頻繁に表示される場合は、攻撃を示している可能性があります。

710004

エラー メッセージ %PIX-4-710004: TCP connection limit exceeded from source_address / source_port to interface_name:dest_address / service

説明 このサービスのファイアウォール管理接続の最大数が超過しました。 ファイアウォールが許可する同時管理接続の数は、管理サービスごとに最高で 5 つまでです。

推奨する対処方法 コンソールで kill コマンドを使用して、必要のないセッションを解放します。

710005

エラー メッセージ %PIX-7-710005: {TCP|UDP} request discarded from source_address / source_port to interface_name:dest_address / service

説明 このメッセージは、UDP 要求を処理する UDP サーバをファイアウォールが持っていないときに表示されます。 また、ファイアウォール上のどのセッションにも属していない TCP パケットがあることを示している場合もあります。 さらに、空のペイロードを持つ SNMP 要求をファイアウォールが受信したときは、その要求が認証済みホストからの SNMP 要求であっても、このメッセージが(サービス snmp を使用して)表示されます。 サービスが snmp である場合、このメッセージは最高で 10 秒に 1 回しか発生せず、ログの受信側が過負荷にならないようにしています。

推奨する対処方法 DHCP、RIP、NetBIOS などのブロードキャスト サービスを多用するネットワークでは、このメッセージが頻繁に表示されることがあります。 このメッセージが頻繁に表示される場合は、攻撃を示している可能性があります。

710006

エラー メッセージ %PIX-7-710006: protocol request discarded from source_address to interface_name:dest_address

説明 このメッセージは、IP プロトコル要求を処理する IP サーバをファイアウォールが持っていないときに表示されます。たとえば、ファイアウォールが TCP および UDP 以外の IP パケットを受信して、要求を処理できないときです。

推奨する対処方法 マルチキャストを多用するネットワークでは、このメッセージが頻繁に表示されることがあります。 このメッセージが頻繁に表示される場合は、攻撃を示している可能性があります。