由于特定的区域保护设置, Traceroute 被防火墙丢弃

由于特定的区域保护设置, Traceroute 被防火墙丢弃

51189
Created On 09/25/18 19:50 PM - Last Modified 06/14/23 06:24 AM


Symptom


症状

 

本文讨论了由于应用了特定选项的 "区域保护" 配置文件, traceroute 被防火墙丢弃的问题。

 

  •  Traceroute 在源和目标之间不显示任何跃点, 除了目标、
    防火墙和防火墙在先的跃点之外:

           TR 下降. png

         

 

  •  有关源和目标主机的通信可以被视为 "traceroute" 和 "允许" 操作的通信日志中的 "ping"。

 

诊断

 

  •  由于防火墙正在从这些跃点数中删除 "传输" 消息 (Type:11、Code:0) 中的 "TTL", 因此出现跃点超时的行为。

 

  • 在不信任区域应用的 "区域保护配置文件" 下配置的选项是 "丢弃带有错误消息的 ICMP", 因此该行为是预期的。在下面的层次结构中可以看到这一点:

    网络 > 区域保护配置文件 > 基于数据包的攻击保护 >> icmp 丢弃 > 丢弃使用错误消息嵌入的 icmp

 

  • 数据包下降可以在全局计数器中看到: 丢弃的数据包: 区域保护选项 "丢弃-icmp-错误"

         GC2. png


请注意, 27 个数据包正在丢弃, 每9个跃点数3个数据包。

Resolution


 

允许 ICMP 错误数据包, 以便源接收它们以填充中间跃点数。在区域保护配置文件下取消选中 "丢弃带有错误信息的 ICMP" 选项:

 

 选项未选中. png
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClfsCAC&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language