A veces (o más bien muchas veces) los logs no son todo lo claros que deberían ser (¿de quién es la culpa?). Creo que el protocolo TCP es lo suficientemente claro, y los fabricantes siguen sin entenderlo (mi opinión).
Es más que común ver paquetes aceptados por el firewall con el flag «client-rst» o «server-rst» o sea que aunque el firewall los deja pasar, las conexiones no funcionan.
Segun el manual …
server-rst sale cuando el servidor resetea la conexion (toma ya). Cosa que no termino de entender … y os pongo un ejemplo.
Pones como filtro origen + destino
El origen inicia la conexión (443) y tú ves que desde XXX hay una conexion a YYY aceptada y aparece este server-rst. Y yo me pregunto ¿Cómo narices sabe el firewall que el servidor ha mandado un reset si ese log tiene que salir antes de que se de cuenta?. Entendería ese server reset si estuviese en el sentido contrario (desde el servidor al cliente, cosa que no sale en los logs … salvo que estés usando en sniffer).
Dejando esto de lado … cuando aparece este mensaje … la culpa es (o suele ser) del servidor. Así que poco podemos hacer en el firewall.
Pero leo cosas que me dejan un poco flipado.
Si la conexión se muere por timeout en el servidor y este no acepta la conexion también sale este server-rst y un par de cosas aún más raras que copio y pego.
«There is a chance that MTU issues can sometimes cause packet drop and cause a server RST but this very rare.»
«In case of FGT Proxy (explicit or transparent) involved, if the traffic direction is UPLOAD (Client > Server), proxy buffering caused timeout with the server.»
«An issue with SSL negotiation :
Between the Client > Server (if no proxy involved)
Between FGT > Server (If proxy involved, SSL deep inspection also can play a role here).client-rst sale cuando el cliente resetea la conexión y esto tiene más sentido, porque ese tráfico si que lo ve en el firewall.»
«the service is not available on the server and the server simply replied TCP SYN with a RST.»
Algo como esto
xxx inicia conexión (443) contra YYY -> en el log del firewall se ve la conexión aceptada
YYY devuelve tráfico a XXX -> en el log del firewall no se ve nada
XXX corta la conexión por alguna razón contra YYY -> en el log se ve el aceptado con este client-rst
https://www.reddit.com/r/fortinet/comments/j3tlvn/what_does_serverrst_actually_mean_in_fortigate_fw/
En fin … y esto es una de las cosas más difíciles … hacer entender que el problema no es del firewall (vamos, lo que de toda la vida se llama jugar al tenis).