Cyberoam Invalid Traffic Error

 

Cyberoam이 또 말썽이다. 한국어로 된 자료도 부족하고....

상황은 이렇다. 서버들이 바라보는 게이트웨이가 방화벽이고, 방화벽에서 동일한 포트에 2개의

네트워크 대역이 설정이 되어있다. 서로간의 Ping이 잘되어서 통신에 문제가 없어 보였는데

HTTP로 API 호출하는 상황에서 한번 되다가 안되고 10분후에 다시되고, 이런 증상이 반복...

그래서 내부 대역 정책상 문제로 판단했으나, 문제 없었음. 그래서 아래와 같이 해결

 

현재 구성현황 : 아래 그림과 비슷

원인 :

아래 그림에서와 같이 동일대역에 존재하는 ClinetA가 Intranet Web Server로 접근하는 경우 방화벽을 거치지 않고 3-Way handshake 과정을 통하여 정상적으로 통신이 이루어짐.

 

그러나 다른 대역의 ClientB가 통신하는 경우 Intranet Web Server가 SYN/ACK 줄때 방화벽으로 패킷을 보내게 되는데 방화벽 고유의 기능인(타 기종 방화벽도 동일) Stateful Inspection(상태 기반 검사)에 의하여 기존 Syn 패킷이 없던것으로  판단하여 Invalid Packet으로 차단이 됨

 

방화벽 로그상 Invalid Packet Deny로 인식되며 코드는 "02001" 이며 Firewall Rule ID는 0이다.

Firewall Rule ID 0은 눈씨고 찾아봐도 없을거다. 원래 일반적으로 거의 모든 방화벽은 ID 0 정책을

가지고 있다. 해당룰은 어떤거지는 찾아봐도 없다 ㅋㅋ

 

 

 해결책

내부 통신 대역의 Stateful Inspection(상태 기반 검사)에 대해서만 검사를 제외.

방화벽의 Asymmetric Routing(비대칭 라우팅)를 사용하여 내부 대역 통신에 대해서만 Bypass 룰을 적용. 해당룰은 일반적인 방화벽정책과는 별도의 룰로 구분이 되어 진다.

 

명령어

Cyberoam Console에 접근후 아래와 같은 명령어를 톻해 설정

console > set advanced-firewall bypass-stateful-firewall-config add source_network 10.1.1.0 source_netmask 255.255.255.0 dest_network 192.168.1.0 dest_netmask 255.255.255.0

 

console > set advanced-firewall bypass-stateful-firewall-config add source_network 192.168.1.0 source_netmask 255.255.255.0 dest_network 10.1.1.0 dest_netmask 255.255.255.0

 

단. 펌웨어 10.00 Version 이상에서만 지원이 된다

 

설정내역

 

 

참조URL : https://kb.cyberoam.com/default.asp?id=2017

 

[출처] Cyberoam Invalid Traffic Error|작성자 mino07