Traceroute 和 Traceroute6 通过帕洛阿尔托网络防火墙

概述

Traceroute 以不同的方式使用。最常用的方法是 ICMP 和 UDP 探测器。但是, 其他方法 (如 GRE 和 TCP) 也存在。

帕洛阿尔托网络防火墙目前具有 traceroute (IPv4) 的应用程序 ID, 因此它可以基于应用程序在防火墙上允许 ICMP、UDP 和 TCP 探测器。

详细

响应 traceroute 或 traceroute6 UDP 探测器的 Dataplane 接口

防火墙不会在任何接口上响应 traceroute/traceroute6 UDP 或 TCP 探测器定向到防火墙的 dataplane 端口。

Traceroute 通过帕洛阿尔托网络防火墙

请确保在安全策略上允许应用程序 "traceroute"。gre 探针被确定为 "gre"。

Traceroute6 通过帕洛阿尔托网络防火墙

使用 traceroute6 时应用 ICMP 探测器, 因为帕洛阿尔托网络防火墙没有识别 traceroute6 UDP 或 TCP 探测器的签名。traceroute6 ICMP 探测器将由 App ID 引擎识别为 "ipv6-icmp"。必须允许应用程序 "ipv6-icmp" traceroute6 通信。

在窗口: tracert-6 <IPv6_Address></IPv6_Address>

在 Linux 上: sudo traceroute-6- <IPv6_Address></IPv6_Address> I

在 MAC OS X: traceroute6-I <IPv6_Address></IPv6_Address>

用于标识应用程序的防火墙上的会话示例, ipv6-icmp:

所有者： mivaldi