Traceroute durch die Firewall aufgrund bestimmter Zonen Schutzeinstellungen fallen gelassen
51185
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 06:24 AM
Symptom
Symptome
Dieser Artikel behandelt die Frage, wie traceroute von der Firewall gelöscht wird, weil ein "Zonen Schutz"-Profil mit spezifischen Optionen angewendet wird.
- Traceroute, die keinen Hopfen zwischen der Quelle und dem Ziel zeigt, außer dem Ziel,
der Firewall und dem Hopfen, der der Firewall vorausgeht:
- Der Verkehr für betroffene Quell-und Zielwirte kann als "Ping" und "traceroute" in den Verkehrs Protokollen mit Aktion als "Allow" angesehen werden.
Diagnose
- Das Verhalten des Hopfen Timings wird gesehen, weil die Firewall die "TTL überschritt in Transit"-Nachricht (Typ: 11, Code: 0) von diesen Hopfen abwirft.
- Die Option, die unterZonen Schutzprofil konfiguriert wird, die auf der Untrust-Zone angewendet wird, ist "Discard ICMP mit Fehlermeldung eingebettet", daher wird das Verhalten erwartet. Dies kann unter folgender Hierarchie gesehen werden:
Netzwerk > Zonen schutzProfil > Paket basierter Angriffs Schutz > ICMP Drop > ABWURF ICMP mit Fehlermeldung eingebettet
- Die Paket Tropfen sind in globalen Zählern zu sehen, wie: Pakete fallen gelassen: Zonen Schutz-Option ' Discard-ICMP-Fehler '
Beachten Sie, dass 27 Pakete fallen gelassen werden, 3 Packungen pro 9 Hopfen.
Resolution
Erlauben Sie ICMP-fehlerpakete, so dass die Quelle Sie empfängt, um den zwischen Hopfen zu bevölkern. Deaktivieren Sie die Option "ICMP mit Fehlermeldung eingebettet" unter das Zonen Schutzprofil: