SRX disable tcp-syn-check

Layer3 or Layer2 去回不同路所導致不通,因為 session table 只會有單邊的 session,firewall 會認定它是異常流量而把封包丟掉,在 SRX 上的 Command 如下

  1. 關閉 TCP SYN check
    # set security flow tcp-session no-syn-check
  2. 關閉 TCP Sequence check
    # set security flow tcp-session no-sequence-check
  3. 關閉 DNS Reply check
    • SRX 預設會對 DNS 封包(UDP dst-port 53)進行過濾,如果去回不同路所造成 SRX 看不到 quary 封包(Quary Bit = 0),這時侯當 SRX 收到 Response 封包時(Quary Bit = 1),即會將此封包 drop。
    • # set security flow allow-dns-reply
juniper/srx/tcp-syn-check.txt · 上一次變更: 2012/11/08 07:39 由 jal
上一頁 | 下一頁 | 回首頁 | RSS Feed | Facebook