El trazado de la zona de seguridad cayó por el Firewall debido a ajustes específicos de protección
51177
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 06:24 AM
Symptom
Síntomas de
Este artículo trata sobre el problema de la caída de la zona de trabajo por el cortafuegos debido a la aplicación de un perfil de ' protección de zonas ' con opciones específicas.
- No se muestra ningún salto entre el origen y el destino excepto el destino,
el cortafuegos y los saltos anteriores al cortafuegos:
- El tráfico de hosts de origen y de destino interesados se puede ver como ' Ping ' y ' performación ' en los registros de tráfico con acción como ' Allow '.
Diagnóstico
- El comportamiento de saltos cronometrando fuera se ve porque el Firewall está cayendo el ' TTL excedido en tránsito ' mensaje (tipo: 11, código: 0) de estos saltos.
- La opción configurada bajo el perfil de protección de zona que se aplica en la zona Untrust es ' descartar ICMP incrustado con mensaje de error ', por lo tanto, se espera el comportamiento. Esto se puede ver bajo la siguiente jerarquía:
red > zona protección perfil > protección de ataque basada en paquetes > Drop ICMP > descartar ICMP incrustado con el mensaje de error
- Las gotas de paquetes se pueden ver en los contadores globales como: paquetes caídos: opción de protección de zona ' descartar-ICMP-error '
Note que se están descartando 27 paquetes, 3 paquetes por 9 saltos.
Resolution
Permitir paquetes de error ICMP para que el origen los reciba para rellenar los saltos intermedios. Desmarque la opción 'descartar ICMP incrustado con mensaje de error ' en el perfil de protección de zona: