Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 30 replies
  • Subscribers 2 subscribers
  • Views 49510 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

FW dropping ACK, RST/ACK & FIN/ACK packets though packets are from valid sessions

Jim Tagert
Does the ASG function in this manner?

When the firewall receives a TCP RST for an existing session it immediately clears the session from the session table. This means there is no longer a valid session for the TCP RST/ACK to pass through. Hence, the firewall will treat the TCP RST/ACK as a non-SYN first packet and drop it.



Thanks,

Jim


This thread was automatically locked due to age.
Parents
  • 0
    I am getting a lot of "ACKRST" as well but I wasn't sure that other people face the same issue. I thought It was my configuration causing this. I will investigate more
  • 0 in reply to wingman
    I've recently returned to the ASG fold for my home network.  I had previously tried it a couple of years ago, but the 10-user limit was insufficient.  With the new 50-user limit on the free Home license, I'm giving it another shot.

    I've got pretty much everything I want working, but I'm bugged by the number of ACK FIN, ACK RST, ACK PSH, and ACK PSH FIN packets being logged by the Default Drop rule.  I've implemented the suggested drop-nolog rules for my DNAT'ed services, but the majority of these packets appear to be related to closed outbound connections from my uTorrent client, and the pseudo-random port numbers make them impossible to catch with such a rule.

    Any further suggestions on how to handle these would be appreciated.  I do like to check my firewall logs occasionally, and all these entries make it hard to see the wood for the trees.

    Here's one happening right now as an example: ASG is reporting  
    12:51:23 Default DROP 	TCP 	***.xx.xx.xx:54874→xx.***.xx.xx:50244 [ACK FIN] len=40 ttl=47 tos=0x00 srcmac=00:1d:a2:xx:xx:xx dstmac=00:0b[:D]b:xx:xx:xx


    and netstat -an on my torrent machine shows that exact connection in FIN_WAIT_1 state.

    Thanks,
      Jon.
Reply
  • 0 in reply to wingman
    I've recently returned to the ASG fold for my home network.  I had previously tried it a couple of years ago, but the 10-user limit was insufficient.  With the new 50-user limit on the free Home license, I'm giving it another shot.

    I've got pretty much everything I want working, but I'm bugged by the number of ACK FIN, ACK RST, ACK PSH, and ACK PSH FIN packets being logged by the Default Drop rule.  I've implemented the suggested drop-nolog rules for my DNAT'ed services, but the majority of these packets appear to be related to closed outbound connections from my uTorrent client, and the pseudo-random port numbers make them impossible to catch with such a rule.

    Any further suggestions on how to handle these would be appreciated.  I do like to check my firewall logs occasionally, and all these entries make it hard to see the wood for the trees.

    Here's one happening right now as an example: ASG is reporting  
    12:51:23 Default DROP 	TCP 	***.xx.xx.xx:54874→xx.***.xx.xx:50244 [ACK FIN] len=40 ttl=47 tos=0x00 srcmac=00:1d:a2:xx:xx:xx dstmac=00:0b[:D]b:xx:xx:xx


    and netstat -an on my torrent machine shows that exact connection in FIN_WAIT_1 state.

    Thanks,
      Jon.
Children
No Data