Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Cómo permitir tracepath (utilidad Unix/Linux) - Knowledge Base - Palo Alto Networks

Cómo permitir tracepath (utilidad Unix/Linux)

48293
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:56 PM


Resolution


Fondo

 

tracepath es una utilidad basada en UNIX/Linux similar a la de la red . Sin embargo, las diferencias entre los dos son

 

  1. tracepath no requiere que los usuarios tengan privilegios de root.
  2. tracepath utiliza (y utiliza solamente) UDP con el puerto alto al azar. la línea de referencia (en UNIX/Linux) por defecto también utiliza UDP con el puerto de destino de rango 33434-33534, pero tiene una opción para cambiar a ICMP (la manera de seguir de Windows usa siempre ICMP).

 

Nota: esto es aplicable para pan-os 5,0 o posterior.

 

Detalle

 

Si una regla de seguridad sólo permite la aplicación " referencia" y el servicio "aplicación-predeterminado" y no hay otra regla subsiguiente para permitir el tráfico tracepath, entonces su paquete UDP se eliminará.

 

Política de seguridadRegistro de tráfico
security_policy_tracepath_default. pnglog_tracepath_default. png

Explicación: esto es bebido tracepath utiliza UDP con el puerto alto al azar. Si un servicio está configurado como "default de la aplicación", tracepath podría ser negado porque en la firma app-id el rango de puerto estándar para la línea de referencia sólo incluye ICMP/any y UDP/33434-33534.

 

 

Solución

Existen dos soluciones posibles:

 

1) Configure laregla de s eguridad para permitir la aplicación "trazado" y el servicio "any".   También tendrá que permitir la aplicación "ICMP" y "ping", ya que estos dos son dependencia de las aplicaciones para el trazado de la misma.

 

Política de seguridadRegistro de tráfico
security_policy_tracepath_any. pnglog_tracepath_any. png

 

 

 

2) instruya a los usuarios a ejecutar tracepath con un puerto de destino de "Inicio" específico 33434. Nota en el registro de tráfico, el puerto de destino aumenta de 33434 para cada salto. De nuevo, es necesario permitir la aplicación ICMP & ping debido a la dependencia de las aplicaciones de la guía.

 

Política de seguridadRegistro de tráfico
security_policy_tracepath_default. pnglog_tracepath_option. png

 

 

Véase también

¿se puede configurar una directiva para permitir el trazado?



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqBCAS&lang=es&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language