Descripción
Cuando ocurre un conflicto de sesión, la sesión anterior se cerrará y se reemplazará por la nueva.
Solución
# diagnose la estadística de la sesión del sistema
FGVM080000—–2 # diagnose la
información miscelánea de las estadísticas de la sesión del sistema: session_count=27 setup_rate=0 exp_count=0 clash=1
memory_tension_drop=0 ephemeral=0/65536 removeable=0
delete=0, flush=0, dev_down=0/ 0
sesiones TCP:
3 en ESTABLECIDO estado
1 en el estado de SYN_SENT
stat error firewall:
error1 = 00000000
error2 = 00000000
error3 = 00000000
error4 = 00000000
tt = 00000000
cont = 00000000
ids_recv = 00000000
url_recv = 00000000
av_recv = 00000000
fqdn_count = 0000001c
tcp stat RESET:
syncqf=1 acceptqf=0 no-oyente=559 datos=0 ses=0 ips=0
global: ses_limit=0 ses6_limit=0 rt_limit=0 rt6_limit=0
Ejemplo 1.
date=2015-09-04 time=05:54:03 logid=0100020085 type=event subtype=system level=information vd=»root» logdesc=»sesión de choque» status=»clash» proto=6 msg=»sesión de choque »
new_status=»state=00000200 tuple-num=2 policyid=1 dir=0 act=1 hook=4 10.129.0.25:5001->10.58.2.61:5001(172.31.19.186:5001) dir=1 act=2 hook =0 10.58.2.61:5001->172.31.19.186:5001(10.129.0.25:5001)»
old_status=»state=00000200 tuple-num=2 policyid=1 dir=0 act=1 hook=4 10.129.0.98:5001 ->10.58.2.61:5001(172.31.19.186:5001) dir=1 acto=2 gancho=0 10.58.2.61:5001->172.31.19.186:5001(10.129.0.98:5001)»
En este ejemplo, se genera un mensaje de conflicto de sesión porque la tupla (NAT_srcip, NAT_srcport, destip, destport) es la misma para las IP de origen 10.129.0.25 y 10.129.0.98.
Por lo tanto, no hay forma de asociar el tráfico de retorno (a 172.31.19.186:5001) al objetivo 10.129.0.25 o 10.129.0.98.
Ejemplo 2.
Si en el ejemplo 1/, si la IP de origen 10.129.0.98 intentara establecer una sesión en una IP de destino diferente (10.58.2.62) pero con las mismas características (NATed_address=172.31.19.186, NAT_sport=5001, dstport=5001), esto no habría generado un mensaje de conflicto de sesión.
Sesión: 10.129.0.98:5001->10.58.2.62:5001(172.31.19.186:5001)
Esto se debe a que la tupla (NAT_srcip, NAT_srcport, destip, destport) es diferente, el destip cambia, por lo que el srcport elegido aleatoriamente puede ser el mismo, no generará un mensaje de conflicto de sesión.
El hecho de que una diferencia de tupla permita reutilizar el mismo puerto NAT src, permite que el firewall tenga más de 65K sesiones con una sola IP pública utilizada para SNAT.
¿Te ha resultado útil??
0 / 0

Hola, somos Mila Jiménez y César Sánchez. Dos apasionados de la ciberseguridad con muchos años de experiencia. Hemos trabajado en muchas empresas del mundo TI y ahora nos apetece compartir nuestro conocimiento con cualquiera que lo necesite.
¡Si te gusta nuestro contenido puedes invitarnos a un café AQUÍ!