特定のゾーン保護設定により、ファイアウォールによって Traceroute が削除される
51183
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 06:24 AM
Symptom
兆候
この資料では、特定のオプションを持つ ' ゾーンの保護 ' プロファイルのアプリケーションのためにファイアウォールによって削除されている traceroute の問題について説明します。
- Traceroute は、宛先、
ファイアウォール、およびファイアウォール先行ホップを除く、ソースと宛先の間の任意のホップを表示するために失敗しました。
- 関係するソースおよび宛先ホストのトラフィックは、' ping ' と ' traceroute ' として、アクションが ' 許可 ' としてログに記録されます。
診断
- これらのホップから、ファイアウォールが「送信中に TTL を超えました」というメッセージ (タイプ:11, Code: 0) をドロップしているため、ホップのタイムアウトの動作が見られます。
- Untrust ゾーンに適用されているゾーンプロテクションプロファイルで設定されたオプションは、' エラーメッセージが埋め込まれた ICMP を破棄する ' ので、動作が予想されます。これは、次の階層の下で見ることができます:
ネットワーク > ゾーン保護プロファイル > パケットベースの攻撃保護 > icmp ドロップ > エラーメッセージが埋め込まれた icmp を破棄します。
- パケットのドロップは、グローバルカウンタで見ることができます: 削除されたパケット: ゾーン保護オプション ' 破棄-icmp-エラー '
27パケットは、9ホップあたり3パケットが削除されていることに注意してください。
Resolution
ICMP エラーパケットを許可して、ソースがそれらを受信して中間ホップを設定します。[ゾーン保護プロファイル] の下の [エラーメッセージが埋め込まれた ICMP を破棄する] オプションをオフにします。