ただのメモです。

環境

内部サーバ === Cisco ASA === (Internet) === SFTPサーバ

毎晩動かしてるバッチで、内部サーバからSFTPサーバへアクセスし、ファイルをダウンロードしている。
バッチはColdFusionでできている。

トラブル

ある日、SFTPサーバへの接続でタイムアウトするようになった。

調べたこと/試したこと

手動でsftp :ok:

バッチではなく、手動でsftpを動かして見た。
問題なし。なぜ。。。?

ASAのService Policy Rule :question:

ASAのService Policy Ruleで、ssh接続に制限をかけていたので外してみた。
Outsideインターフェースなので意味なさそう。

外したら、ログイン時ではなく、ファイルダウンロード時にタイムアウトするようになった。
不思議だ。:confused:

ASAでセッションを確認

ASAにssh接続し、enableshow conn allすると、セッション情報が出てきます。

flags UIO状態で、200件超溜まっていました。
カウントはshow conn count

flgasの意味
https://networkengineering.stackexchange.com/questions/45099/asa-conn-flags-explain

The Conn Flags UIO means: Three-way handshake (U) is completed and the inside host (192.168.1.3) initiated the traffic (we know that because there is no Flag B at all). inside host (192.168.1.3) has received data from and sent data to outside host (10.23.232.217) on TCP port 443 (IO)

内部サーバでnetstat -an

sftp接続がたくさん出てきた。 :exclamation:

推測

バッチがsftpを切断しないので、どこかの制限に引っかかっている?