Traceroute et Traceroute6 à travers le pare-feu Palo Alto Networks

Vue d’ensemble

Traceroute est utilisé de différentes manières. Les méthodes les plus populaires sont les sondes ICMP et UDP. Cependant, d'autres méthodes telles que GRE et TCP existent.

Le pare-feu de Palo Alto Networks a actuellement un app-ID pour traceroute (IPv4), de sorte qu'il peut permettre ICMP, UDP et TCP sondes à travers le pare-feu basé sur l'application.

Détails

Interfaces Dataplane répondant aux sondes UDP traceroute ou traceroute6

Le pare-feu ne répondra sur aucune interface à traceroute/traceroute6 UDP ou TCP sondes dirigées vers les ports dataplane du pare-feu.

Traceroute à travers le pare-feu Palo Alto Networks

Assurez-vous d'autoriser l'application'traceroute'sur votre stratégie de sécurité. Les sondes GRE sont identifiées comme appliction'gre'.

Traceroute6 à travers le pare-feu de Palo Alto Networks

Appliquez des sondes ICMP lors de l'utilisation de traceroute6, car le pare-feu de Palo Alto Networks n'a pas de signature pour identifier les sondes UDP ou TCP traceroute6 avec App-ID. Les sondes ICMP traceroute6 seront identifiées par le moteur App-ID comme'IPv6-ICMP'. L'application'IPv6-ICMP'doit être autorisée pour le trafic traceroute6.

Sous Windows: tracert-6 <IPv6_Address></IPv6_Address>

Sur Linux: sudo traceroute-6-I <IPv6_Address></IPv6_Address>

Sous Mac OS X: traceroute6-I <IPv6_Address></IPv6_Address>

Exemple d'une session sur le pare-feu identifiant l'application, IPv6-ICMP:

propriétaire : mivaldi