Cómo permitir tracepath (utilidad Unix/Linux)
Resolution
Fondo
tracepath es una utilidad basada en UNIX/Linux similar a la de la red . Sin embargo, las diferencias entre los dos son
- tracepath no requiere que los usuarios tengan privilegios de root.
- tracepath utiliza (y utiliza solamente) UDP con el puerto alto al azar. la línea de referencia (en UNIX/Linux) por defecto también utiliza UDP con el puerto de destino de rango 33434-33534, pero tiene una opción para cambiar a ICMP (la manera de seguir de Windows usa siempre ICMP).
Nota: esto es aplicable para pan-os 5,0 o posterior.
Detalle
Si una regla de seguridad sólo permite la aplicación " referencia" y el servicio "aplicación-predeterminado" y no hay otra regla subsiguiente para permitir el tráfico tracepath, entonces su paquete UDP se eliminará.
| Política de seguridad | Registro de tráfico |
|---|---|
Explicación: esto es bebido tracepath utiliza UDP con el puerto alto al azar. Si un servicio está configurado como "default de la aplicación", tracepath podría ser negado porque en la firma app-id el rango de puerto estándar para la línea de referencia sólo incluye ICMP/any y UDP/33434-33534.
Solución
Existen dos soluciones posibles:
1) Configure laregla de s eguridad para permitir la aplicación "trazado" y el servicio "any". También tendrá que permitir la aplicación "ICMP" y "ping", ya que estos dos son dependencia de las aplicaciones para el trazado de la misma.
| Política de seguridad | Registro de tráfico |
|---|---|
2) instruya a los usuarios a ejecutar tracepath con un puerto de destino de "Inicio" específico 33434. Nota en el registro de tráfico, el puerto de destino aumenta de 33434 para cada salto. De nuevo, es necesario permitir la aplicación ICMP & ping debido a la dependencia de las aplicaciones de la guía.
| Política de seguridad | Registro de tráfico |
|---|---|
Véase también
¿se puede configurar una directiva para permitir el trazado?