No relevant resource is found in the selected language.

This site uses cookies. By continuing to browse the site you are agreeing to our use of cookies. Read our privacy policy>

Reminder

To have a better experience, please upgrade your IE browser.

upgrade

Synflag filtering in ACLs

Publication Date:  2012-07-27 Views:  59 Downloads:  10
Issue Description
The environment is shown in topology.gif picture.
Between routers NE08E and NE40 there is a IBGP session established.
The configuration of the proper routers is available on the attachments.
The synflag filtering is configured on the router NE40E on g8/0/0 interface in order to not allow to establish IBGP session.
Alarm Information
Null
Handling Process
Several tests were done. The acl was chenged according to filtering relevant tcp synflags as follow:
- SYN only (rule 20, 40)
- SYN, ACK only (rule 20, 25, 40)
- SYN + ACK only (rule 30, 40)
- SYN, SYN + ACK only (rule 20, 30, 40 )
- SYN, ACK, AYN + ACK (all rules)
The following result were acchieved:
------------------------------------------------------------------------------------
| Direction of filtering -> |                |                   |                 |
|---------------------------|     INBOUND    |      OUTBOUND     | BOTH DIRECTIONS |
|     What to filter        |                |                   |                 |
------------------------------------------------------------------------------------
|    SYN                    |       OK       |        OK         |      NOK        |
------------------------------------------------------------------------------------
|    SYN, ACK               |       OK       |        OK         |      NOK        |
------------------------------------------------------------------------------------
|    SYN + ACK              |       OK       |        OK         |      NOK        |
------------------------------------------------------------------------------------
|    SYN, SYN + ACK         |      NOK       |       NOK         |      NOK        |
------------------------------------------------------------------------------------
|   SYN, ACK, SYN + ACK     |      NOK       |       NOK         |      NOK        |
------------------------------------------------------------------------------------
Debbuging files which describes the establishing tcp sessions are in syn.zip attached file.
Root Cause
When the synflag filtering is used on the NE40E router there are some cases when the session is established.
During the tests the ACL 3005 was used.
acl number 3005
rule 20 deny tcp syn-flag 2    <----- refers to SYN
rule 25 deny tcp syn-flag 16  <----- refers to ACK
rule 30 deny tcp syn-flag 18  <----- refers to SYN+ACK
rule 40 permit ip
Suggestions
The summary for the tests are as follows:
1. When the router transmits traffic through itself it is able to filter datagrams with the proper tcp flags in inbound as well as outbound direction. 
2. When the traffic is generated by this router (example: it is the bgp peer) the outgoing traffic is not filtered. 
The explanation of this situation could be as follow. There is a possibility that the traffic policing is done earlier than traffic which comes from this router. So the traffic from router is send after the traffic policy takes effect. That is why it is not filtered.
3. To prevent from tcp session establishing the best way to do this is to block all three flags which are taking part of the tcp connection establishing. 

END