Wido
23/12/06, 22:17
Hallo,
Sinds gisteren heb ik een Cisco ASA5510 firewall en ben er mee aan de gang gegaan in transparante modus.
Ik heb verder nog nooit met Cisco apparatuur gewerkt (op de NL-IX BGP cursus na), dus ik ben er niet al te bekend mee.
Dus ik heb bij Bol.com al heel braaf twee boeken over de ASA en PIX serie besteld, maar die laten nog wel even op zich wachten, dus ik ben maar gaan proberen.
Nu heb ik het aardig werkend voor een beginneling er mee. Hij laat alleen SSH en HTTP verkeer door.
Maar zodra ik een packetflood van enkele honderden UDP packets per seconde start richting een machine achter die firewall schiet de CPU load naar de 98%.
Deze packetflood komt vanaf 1 linux machine aan een 100mbit lijn en volgens mijn statistieken is het niet meer dan 30mbit.
Ik vind dat wel dramatische getallen, dus ik zoek het eerder bij mijn eigen onkunde met deze firewall.
Ik zal wel een regel hebben gemaakt waardoor hij al zijn traffic over de CPU stuurt, maar dat weet ik zo zelf ook niet.
Ik heb de volgende regels gemaakt:
access-list Uplink_access_in extended permit tcp any host 85.92.147.250 eq www
access-list Uplink_access_in extended permit tcp any host 85.92.147.250 eq ssh
Verder draait er de 7.2 versie van de ASA software op en de ADSM versie 5.21
Mijn volledige config staat op: http://crew.pcextreme.nl/~wido/cisco-asa-5510-01.cfg
Wat doe ik hier fout? Of kan dit apparaat echt niet meer hebben? Wat ik vreemd zou vinden aangezien hij volgens de specs meer moet kunnen.
Sinds gisteren heb ik een Cisco ASA5510 firewall en ben er mee aan de gang gegaan in transparante modus.
Ik heb verder nog nooit met Cisco apparatuur gewerkt (op de NL-IX BGP cursus na), dus ik ben er niet al te bekend mee.
Dus ik heb bij Bol.com al heel braaf twee boeken over de ASA en PIX serie besteld, maar die laten nog wel even op zich wachten, dus ik ben maar gaan proberen.
Nu heb ik het aardig werkend voor een beginneling er mee. Hij laat alleen SSH en HTTP verkeer door.
Maar zodra ik een packetflood van enkele honderden UDP packets per seconde start richting een machine achter die firewall schiet de CPU load naar de 98%.
Deze packetflood komt vanaf 1 linux machine aan een 100mbit lijn en volgens mijn statistieken is het niet meer dan 30mbit.
Ik vind dat wel dramatische getallen, dus ik zoek het eerder bij mijn eigen onkunde met deze firewall.
Ik zal wel een regel hebben gemaakt waardoor hij al zijn traffic over de CPU stuurt, maar dat weet ik zo zelf ook niet.
Ik heb de volgende regels gemaakt:
access-list Uplink_access_in extended permit tcp any host 85.92.147.250 eq www
access-list Uplink_access_in extended permit tcp any host 85.92.147.250 eq ssh
Verder draait er de 7.2 versie van de ASA software op en de ADSM versie 5.21
Mijn volledige config staat op: http://crew.pcextreme.nl/~wido/cisco-asa-5510-01.cfg
Wat doe ik hier fout? Of kan dit apparaat echt niet meer hebben? Wat ik vreemd zou vinden aangezien hij volgens de specs meer moet kunnen.