Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Wie man tracepath (Unix/Linux-Dienstprogramm) zulässt - Knowledge Base - Palo Alto Networks

Wie man tracepath (Unix/Linux-Dienstprogramm) zulässt

48291
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:56 PM


Resolution


Hintergrund

 

tracepath iist ein UNIX/Linux-basiertes Dienstprogramm, das traceroute ähnelt. Die Unterschiede zwischen den beiden sind aber

 

  1. tracepath verlangt nicht, dass Benutzer root-Privilegien haben.
  2. tracepath verwendet (und verwendet) UDP mit zufälligem hohen Port. traceroute (unter UNIX/Linux) verwendet standardmäßig auch UDP mit Reichweite Ziel Port 33434-33534, hat aber die Möglichkeit, auf ICMP umzusteigen (Windows traceroute verwendet immer ICMP) .

 

Hinweis: Dies gilt für Pan-OS 5,0 oder später.

 

– Detail

 

Wenn eine Sicherheitsregel nur die Anwendung "traceroute" und den Dienst "Anwendung-default" erlaubt und es keine andere nachfolgende Regel gibt, um den tracepath-Verkehr zuzulassen, dann wird sein UDP-Paket gelöscht.

 

SicherheitspolitikDatenverkehrsprotokoll
security_policy_tracepath_default. pnglog_tracepath_default. png

Erklärung: Dies ist bweil tracepath verwendet UDP mit zufälligen hohen Port. Wenn ein Dienst auf "Application-default" eingestellt ist, könnte tracepath verweigert werden, da in der APP-ID-Signatur der Standard-Port-Bereich für traceroute nur ICMP/any und UDP/33434-33534 enthält.

 

 

Lösung

Es gibt zwei mögliche Lösungen:

 

1) konfigurieren Sie die security-Regel, um die Anwendung "traceroute" und Service "Any" zu ermöglichen.  Sie müssen auch die Anwendung "ICMP" und "Ping" erlauben, da diese beiden Anwendungs Abhängigkeit für traceroute sind.

 

SicherheitspolitikDatenverkehrsprotokoll
security_policy_tracepath_any. pnglog_tracepath_any. png

 

 

 

2) beauftragen Sie die Benutzer, tracepath mit einem bestimmten "Starting"-Zielport 33434 zu betreiben. Hinweis im Verkehrsprotokoll, der Zielport erhöht sich von 33434 für jeden Hopfen. Auch hier ist es aufgrund der Abhängigkeit von traceroute-Anwendungen weiterhin notwendig, die Anwendung ICMP & Ping zu erlauben.

 

SicherheitspolitikDatenverkehrsprotokoll
security_policy_tracepath_default. pnglog_tracepath_option. png

 

 

Siehe auch

Kann eine Politik so konfiguriert werden, dass Sie traceroute zulässt?



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqBCAS&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language