Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 7318 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Suspicious TCP state ?

Sn@g9l3pu5s
How do you know if Suspicious TCP state are being reject or Drop

I am seeing a lot the logs 

09:48:58  Suspicious TCP state  TCP 174.36.179.119  :  6005 ? 
209.200.9.78  :  3584 [ACK SYN]  len=40  ttl=105  tos=0x00


08:52:14  Suspicious TCP state  TCP 74.208.172.18  :  80 ?  209.200.9.78  :  1234   [ACK RST]  len=40  ttl=52 tos=0x00 

 how would i know if they were drop, reject or do UTM9 just let them pass


This thread was automatically locked due to age.
  • 0
    Hi,

    Turning on "Strict TCP" mode in PacketFilter-Advanced might cause them to be dropped.

    Barry
  • 0
    I have Strict TCP mode in PacketFilter-Advanced on but it would be nice if the log lets you know if the packet was pass/drop the log does not provide that info.
  • 0
    It's not helpful to use the Live Log for analyzing "why" as it shows only a limited amount of information.  Better to post here the same lines from the full log file.

    Cheers - Bob
  • 0 in reply to BAlfson
    I think the question is really quite valid.

    Astaro appears to believe that "Strict TCP State" is in fact some sort of action.  It's still not clear what the meaning of this 'action' is.

    Here is a snipped from my firewall log.

    2013:09:27-22:32:59 astaro ulogd[4782]: id="2012" severity="info" sys="SecureNet" sub="packetfilter" name="strict TCP state" action="strict TCP state" fwrule="60009" outitf="ppp0" srcmac="36:f7:70:70:70:30" srcip="a.b.c.d" dstip="w.x.y.z" proto="6" length="52" tos="0x00" 
    Pretty much nonsensical in terms of tracking what is happening with the packet.  Drop or not?  Who knows?
  • 0
    Hi Dougga,

    It is dropped.

    Just had a look at my test unit's firewall rules. That entry is triggered by a sanity check chain in the firewall and fwrule=60009 indicates it's dropped.

    For everyone's reference, the 6000x rules are UTM drop rules. From what I can see, the rules correspond as follows:

    60001 - INPUT Chain
    60002 - FORWARD Chain
    60003 - OUTPUT Chain
    60005 - OUTPUT Chain (something to do w/ webadmin & nonpriv ports)
    60009 - STRICT_TCP_STATE
  • 0
    How do i disable rule 60009 or change this rule so that packages will not be dropped?
  • 0
    Hi Cirra,

    The only way I know of around 60009 is to disable "Use strict TCP session handling" in the advanced tab of the firewall. That checkbox governs the STRICT_TCP_STATE chain which 60009 is attached to.
  • 0
    Even if i disable "Use strict TCP session handling" the error still apperars.