Eu tenho um WatchGuard Firebox que eu configurei recentemente. Todas as políticas parecem corretas e todos os serviços apropriados parecem estar funcionando corretamente.
No entanto, um ou dois nós (aparentemente) aleatórios continuam impedidos de fazer solicitações HTTP para um host NAT de 1: 1 que todos os demais fazem muito bem.
O log do firewall informa que tcp syn checking failed e essas solicitações usam a porta de destino 64 para os clientes por trás do appliance e a porta 50 para os clientes do lado de fora. Eu finalmente encontrei esta opção e a desabilitei sob as Configurações Globais (o que deixa um gosto ruim na minha boca), e isso parece ter feito o truque.
A documentação é muito fina sobre o assunto, no entanto. Alguém pode me explicar exatamente o que a checagem de sincronização tcp faz / é, e como eu posso fazer um subsídio apropriado para ela em minhas políticas, em vez de desabilitá-la globalmente (supondo, é claro, que seja um mais gracioso solução do que uma regra global)?
Da Guarda de Vigia:
Verificação TCP SYN
A configuração de verificação TCP SYN global é: Ativar verificação TCP SYN Esse recurso garante que o handshake de três vias TCP seja feito antes que o Firebox permita uma conexão de dados.
Então, imagino que o guarda-costas não esteja vendo a sin / sync / ack usual acontecer por qualquer motivo e matando a conexão.
Eu trabalho para o WatchGuard. A verificação SYN é apenas para garantir que um handshake TCP tenha ocorrido antes de permitir outro tráfego. Mesmo que isso esteja desativado, ainda garantimos que os handshakes TCP que observamos sejam completos corretamente e não afetem nossa proteção TCP SYN Flood. É seguro desligar.
Ele geralmente é acionado devido ao tempo limite de TCP no WatchGuard ser menor do que os tempos limite na conexão servidor / cliente. Quando o servidor / cliente fala novamente, o WatchGuard supõe que a conexão foi fechada e gosta de ver o handshake TCP novamente.