Discussione:
ICMP(type:3, code:3)
(troppo vecchio per rispondere)
Claudio(BS)
2011-03-01 07:34:46 UTC
Permalink
Ciao,

ho un firewall Zyxel ZyWall2 che invia in continuazione questo messaggio:

17|03/01/2011 08:15:25 |172.16.0.100 |172.16.0.254
|ACCESS BLOCK Unsupported/out-of-order ICMP:
ICMP(type:3, code:3)

Qualcuno potrebbe cortesemente spiegare cosa succede e come posso fare
per eliminare in modo corretto questo messaggio?

Sono alcuni anni che funzionava tutto bene, poi dopo aver aggiunto un
nuovo server al NAT il firewall ha iniziato a dare questo messaggio e
non sono più riuscito toglierlo neppure rimettendo la vecchia impostazione.

Grazie a tutti
--
Claudio(BS)

NB. Protezione antispam
Per rispondere aggiungere claudio
ObiWan
2011-03-01 15:04:46 UTC
Permalink
Post by Claudio(BS)
ICMP(type:3, code:3)
Qualcuno potrebbe cortesemente spiegare cosa succede e come posso fare
per eliminare in modo corretto questo messaggio?
http://www.iana.org/assignments/icmp-parameters

HTH
ObiWan
2011-03-01 15:07:01 UTC
Permalink
Post by ObiWan
http://www.iana.org/assignments/icmp-parameters
già che ci siamo

http://en.wikipedia.org/wiki/ICMP_Destination_Unreachable

ciao
Claudio(BS)
2011-03-02 12:46:21 UTC
Permalink
Post by ObiWan
Post by ObiWan
http://www.iana.org/assignments/icmp-parameters
già che ci siamo
http://en.wikipedia.org/wiki/ICMP_Destination_Unreachable
ciao
Il vero problema è che entrambi i nodi sono completamente pingabili e
quindi non riesco a trovare l'origine del problema.
Sembra un problema di porte, proverò col port scanning.

Grazie per le preziose info.
ObiWan
2011-03-02 13:49:57 UTC
Permalink
Post by Claudio(BS)
Il vero problema è che entrambi i nodi sono completamente
pingabili e quindi non riesco a trovare l'origine del problema.
Che accidenti c'entra il "ping" (ICMP echo) con il problema
che hai riportato nel tuo post ? Le cose sono due; o capisci
quello su cui stai mettendo mano o NON lo capisci, nel
secondo caso, non c'è da vergognarsi, ma serviranno di
SICURO ulteriori informazioni
Claudio(BS)
2011-03-02 15:13:03 UTC
Permalink
Post by ObiWan
Post by Claudio(BS)
Il vero problema è che entrambi i nodi sono completamente
pingabili e quindi non riesco a trovare l'origine del problema.
Che accidenti c'entra il "ping" (ICMP echo) con il problema
che hai riportato nel tuo post ? Le cose sono due; o capisci
quello su cui stai mettendo mano o NON lo capisci, nel
secondo caso, non c'è da vergognarsi, ma serviranno di
SICURO ulteriori informazioni
Allora...
dalla risposta è evidente che, causa mia ignoranza, ho interpretato male
il suggerimento, scusa.

Poi...
Ho letto nei link che hai fornito, che il messaggio ICMP(type:3,
code:3), per la reference RFC792, si riferisce al messaggio
*Destinazione irraggiungibile* su una certa porta, ho capito male?
E' per questo motivo che ho fatto ping e poi il portscan sui due IP,
tutto qui.
Che informazioni servono?
Porta pazienza, non sono molto pratico di queste cose :)

Grazie
ObiWan
2011-03-02 16:13:47 UTC
Permalink
Post by Claudio(BS)
Ho letto nei link che hai fornito, che il messaggio ICMP(type:3,
code:3), per la reference RFC792, si riferisce al messaggio
*Destinazione irraggiungibile* su una certa porta, ho capito male?
No, il type 3 significa "destinazione irraggiungibile" ed il code 3
di tale type specifica che la PORTA di destinazione relativamente
ad un dato pacchetto (datagram se preferisci) risulta irraggiungibile
il che significa che "qualcosa" sta inviando traffico (probabilmente
traffico UDP) ad un certo host:porta e la porta destinazione non
accetta tale traffico ... a questo punto per capire di cosa si tratti
bisognerebbe dare un'occhiata (leggasi usare uno sniffer) al
traffico che transita sulla tua rete
Claudio(BS)
2011-03-03 07:58:27 UTC
Permalink
Post by ObiWan
il che significa che "qualcosa" sta inviando traffico (probabilmente
traffico UDP) ad un certo host:porta e la porta destinazione non
accetta tale traffico ... a questo punto per capire di cosa si tratti
bisognerebbe dare un'occhiata (leggasi usare uno sniffer) al
traffico che transita sulla tua rete
Ok, allora devo fare alcune verifiche ma temo che per un profano come me
sia piuttosto complicato. :(
Saresti così gentile da indicarmi come fare/procedere? Sempre che non
sia troppo disturbo ovviamente. :)
Quale software consigli di installare su un server win nt 4.0 per fare
questi controlli? Tempo fa ho provato wireshark 0.99.4 ma sinceramente
non ho capito molto di quello che "loggava"...

Grazie
ObiWan
2011-03-03 13:59:15 UTC
Permalink
Post by Claudio(BS)
Ok, allora devo fare alcune verifiche ma temo che per un profano come
me sia piuttosto complicato. :(
beh mica tanto, considerando che lo zyxel logga

<===========>
17| 03/01/2011 08:15:25 |172.16.0.100 |172.16.0.254 | ACCESS BLOCK
Unsupported/out-of-order ICMP: ICMP(type:3, code:3)
<===========>

direi che potresti iniziare controllando gli IP presenti nei
log records; uno dei due /suppongo/ sia quello attestato
all'interfaccia LAN dello Zyx, per quanto riguarda l'altro...
controlla se è sempre lo stesso o se varia ed in qualsiasi
caso, controlla quale host usa quel determinato indirizzo
IP al momento e cosa stia "girando" su quel computer
Claudio(BS)
2011-03-03 17:01:09 UTC
Permalink
Post by ObiWan
beh mica tanto, considerando che lo zyxel logga
<===========>
17| 03/01/2011 08:15:25 |172.16.0.100 |172.16.0.254 | ACCESS BLOCK
Unsupported/out-of-order ICMP: ICMP(type:3, code:3)
<===========>
direi che potresti iniziare controllando gli IP presenti nei
log records; uno dei due /suppongo/ sia quello attestato
all'interfaccia LAN dello Zyx, per quanto riguarda l'altro...
controlla se è sempre lo stesso o se varia ed in qualsiasi
caso, controlla quale host usa quel determinato indirizzo
IP al momento e cosa stia "girando" su quel computer
Forse ci siamo!
Seguendo il tuo consiglio ho controllato bene i vecchi logs e sono
sempre gli stessi ip, sia per la sorgente che per la destinazione,
quindi sempre seguendo il tuo consiglio ho messo uno sniffer sulla
sorgente e...porta SRC 4096 e DEST 514...il syslog! :)
Quindi per ora disabilito l'invio dei messaggi al syslog e "calmo" i
logs, e domani controllo cosa devo sistemare, anche se forse, a questo
punto il NAT è stata solo una coincidenza e non c'entra niente.

Grazie ObiWan,
sei stato davvero gentile (e paziente), grazie ancora!
ObiWan
2011-03-05 10:34:51 UTC
Permalink
Post by Claudio(BS)
Post by ObiWan
direi che potresti iniziare controllando gli IP presenti nei
log records; uno dei due /suppongo/ sia quello attestato
Forse ci siamo!
ottimo :)
Post by Claudio(BS)
Seguendo il tuo consiglio ho controllato bene i vecchi logs e sono sempre
gli stessi ip, sia per la sorgente che per la destinazione, quindi sempre
seguendo il tuo consiglio ho messo uno sniffer sulla sorgente e...porta
SRC 4096 e DEST 514...il syslog! :)
beh... a questo punto bisognerebbe capire se sul sistema
destinazione la porta 514 sia aperta :D
Post by Claudio(BS)
Quindi per ora disabilito l'invio dei messaggi al syslog e "calmo" i logs,
e domani controllo cosa devo sistemare, anche se forse, a questo punto il
NAT è stata solo una coincidenza e non c'entra niente.
probabile/possibile
Post by Claudio(BS)
Grazie ObiWan,
sei stato davvero gentile (e paziente), grazie ancora!
di nulla
Marco
2011-03-13 02:15:33 UTC
Permalink
Router reply ICMP packet: ICMP(Port Unreachable) X.X.X.X 89.153.247.61

Salve ho trovato per caso questa discussione e volevo porvi anche io una
domanda,medesimo firewall e stesso quasi problema,con la differenza che il
mio messaggio è quello indicato sopra,con sorgente sempre l'indirizzo del
firewall zyxel e destinazione indirizzi sempre diversi e mai
uguali,indirizzi come quello sopra,da cosa potrebbe essere generato questo
traffico che lui da come ACCESS PERMITED?
Grazie.

Loading...