Traceroute a chuté par le pare-feu en raison de paramètres de zone de protection spécifique
51179
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 06:24 AM
Symptom
Symptômes
Cet article traite de la question de traceroute étant abandonnée par le pare-feu en raison de l'application d'un profil de «protection de zone» avec des options spécifiques.
- Traceroute ne pas afficher les sauts entre la source et la destination, sauf la destination,
le pare-feu et le houblon précédant le pare-feu:
- Le trafic pour les hôtes de source et de destination concernés peut être considéré comme «ping» et «traceroute» dans les journaux de trafic avec l'action «autoriser».
Diagnostic
- Le comportement de la temporisation du houblon est vu parce que le pare-feu fait tomber le message'TTL dépassé en Transit' (type: 11, code: 0) de ces houblons.
- L'option configurée sous profil de protection de zone qui est appliqué sur la zone de non-confiance est'ignorer ICMP incorporé avec le message d'erreur, 'par conséquent, le comportement est attendu. Ceci peut être vu sous la hiérarchie suivante:
réseau > protection des zones profil > protection contre les attaques par paquets > ICMP Drop > jetez ICMP incorporé avec le message d'erreur
- Les gouttes de paquets peuvent être vues dans les compteurs globaux comme: les paquets ont chuté: option de protection de Zone'discard-ICMP-error'
Notez que 27 paquets sont lâchés, 3 paquets par 9 houblon.
Resolution
Autoriser les paquets d'erreur ICMP afin que la source les reçoit pour remplir le houblon intermédiaire. Décochez l'option'Ignorer ICMP incorporé avec le message d'erreur' sous le profil de protection de zone: