Traceroute durch die Firewall aufgrund bestimmter Zonen Schutzeinstellungen fallen gelassen
Traceroute durch die Firewall aufgrund bestimmter Zonen Schutzeinstellungen fallen gelassen
51185
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 06:24 AM
Symptom
Symptome
Dieser Artikel behandelt die Frage, wie traceroute von der Firewall gelöscht wird, weil ein "Zonen Schutz"-Profil mit spezifischen Optionen angewendet wird.
Traceroute, die keinen Hopfen zwischen der Quelle und dem Ziel zeigt, außer dem Ziel, der Firewall und dem Hopfen, der der Firewall vorausgeht:
Der Verkehr für betroffene Quell-und Zielwirte kann als "Ping" und "traceroute" in den Verkehrs Protokollen mit Aktion als "Allow" angesehen werden.
Diagnose
Das Verhalten des Hopfen Timings wird gesehen, weil die Firewall die "TTL überschritt in Transit"-Nachricht (Typ: 11, Code: 0) von diesen Hopfen abwirft.
Die Option, die unterZonen Schutzprofil konfiguriert wird, die auf der Untrust-Zone angewendet wird, ist "Discard ICMP mit Fehlermeldung eingebettet", daher wird das Verhalten erwartet. Dies kann unter folgender Hierarchie gesehen werden:
Netzwerk > Zonen schutzProfil > Paket basierter Angriffs Schutz > ICMP Drop > ABWURF ICMP mit Fehlermeldung eingebettet
Die Paket Tropfen sind in globalen Zählern zu sehen, wie: Pakete fallen gelassen: Zonen Schutz-Option ' Discard-ICMP-Fehler '
Beachten Sie, dass 27 Pakete fallen gelassen werden, 3 Packungen pro 9 Hopfen.
Resolution
Erlauben Sie ICMP-fehlerpakete, so dass die Quelle Sie empfängt, um den zwischen Hopfen zu bevölkern. Deaktivieren Sie die Option "ICMP mit Fehlermeldung eingebettet" unter das Zonen Schutzprofil: