Registros Cisco ASA “criação de tradução regular falhou para icmp…” para tráfego DNS, mas funciona

Navegue suas respostas
3

A cada poucos minutos, o firewall Cisco ASA 5505 está registrando erros que não consigo descobrir com minha experiência limitada da Cisco. 

Severity Date        Time        Syslog ID Source IP  Destination IP  Description
3     Mar 25 2010 17:21:14 305006   8.8.8.8                    regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.8.8 (type 3, code 3)
3     Mar 25 2010 17:18:37 305006   8.8.4.4                    regular translation creation failed for icmp src inside:10.10.0.206 dst outside:8.8.4.4 (type 3, code 3)

O IP interno registrado é nosso servidor DNS interno e os IP externos são servidores DNS públicos do Google, que estamos usando como encaminhadores em nossa configuração local do BIND. Código 3 do ICMP tipo 3 significa "Porta inacessível".

As políticas de serviço 'Inspecionar DNS', 'Inspecionar ICMP' e 'Inspecionar erros ICMP' estão ativadas, com os mapas de inspeção padrão.

Nossa interface "externa" tem um IP fixo e nossa interface "interna" está na sub-rede 10.10.0.0/16. O 10.10.0.206 IP é o nosso servidor DNS BIND interno, e o DNS está resolvendo bem. O uso de encaminhadores DNS diferentes, como o OpenDNS, gera os mesmos erros.

Eu passei dias tentando descobrir isso, então todo e qualquer conselho é apreciado!

    
por Martijn Heemels 25.03.2010 / 17:49

3 respostas

1

Isso parece uma incompatibilidade nos tempos limite da tabela de estado NAT do firewall e nos próprios tempos limite do servidor DNS.

A Porta ICMP Inacessível está sendo retornada pelo seu servidor DNS, provavelmente em resposta a um pacote recebido atrasado. BIND escolhe uma porta aleatória (ish) para cada consulta de saída e é possível que uma resposta demorada chegue muito depois que o BIND parou de escutar a resposta nessa porta.

Isso faz a pergunta de por que o firewall felizmente permite que o pacote retorne (atrasado), sem subsequentemente deixar o erro ICMP de volta.

    
por 28.09.2010 / 20:38
1

Você pode tentar o seguinte, do mais provável ao menos provável:

  • Talvez seja necessário habilitar "Inspecionar ICMP" para que as respostas do ICMP funcionem corretamente - esse é o caso do software ASA mais novo (em 8.2, acredito)
  • Verifique se você tem a (s) instrução (ões) NAT apropriada na interface interna e a instrução GLOBAL na interface externa
  • Verifique se a sua lista de acesso na interface interna permite ICMP de saída que corresponda a esse tráfego

Se nenhuma dessas coisas corrigir o problema, tente configurar as capturas da seguinte forma: 

asa(config)# access-list test permit icmp host 10.10.0.200 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp host <outside interface IP> 8.8.0.0 255.255.0.0
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host 10.10.0.200
asa(config)# access-list test permit icmp 8.8.0.0 255.255.0.0 host <outside interface IP>
asa# capture test1 access-list test interface outside trace
asa# capture test2 access-list test interface inside trace

Em seguida, após alguns desses erros serem registrados (se bem me lembro, esta é a sintaxe): 

asa# show capture test1 trace
asa# show capture test2 trace
    
por 22.04.2010 / 16:56
0

Aqui está uma razão pela qual vemos essa mensagem em nosso ASA: 

regular translation creation failed for icmp src inside:10.x.x.3 dst outside:19.13.123.16

Quando um PC / Servidor está executando torrent, ele configura muitas sessões NAT. Quando o usuário fecha / encerra o cliente de torrent, nós recebemos muito deste erro por um longo tempo.

O que fazer com isso: não tenho certeza. Por que você recebe esta mensagem para 8.8.8.8 Googles DNS público, não shure. Pode ser um programa que foi encerrado durante a sessão aberta para o servidor DNS.

    
por 22.09.2013 / 13:22

Tags

Existe algum dispositivo VMware para desenvolvimento de software? Instalar drivers PHP MSSQL no Ubuntu