Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
Comment permettre tracepath (UNIX/Linux Utility) - Knowledge Base - Palo Alto Networks

Comment permettre tracepath (UNIX/Linux Utility)

48291
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:56 PM


Resolution


Arrière-plan

 

tracepath is un UNIX/Linux-base utilitaire similaire à traceroute. Cependant, les différences entre les deux sont

 

  1. tracepath n'exige pas que les utilisateurs aient un privilège racine.
  2. tracepath utilise (et utilise uniquement) UDP avec un port aléatoire élevé. traceroute (sous UNIX/Linux) par défaut utilise également UDP avec la plage de destination port 33434-33534, mais a une option pour passer à ICMP (Windows traceroute toujours utiliser ICMP ).

 

Remarque: cette application s'applique à Pan-OS 5,0 ou ultérieur.

 

Détail

 

Si une règle de sécurité ne permet que l'application "traceroute" et le service "application-default" et il n'y a aucune autre règle suivante pour permettre le trafic tracepath alors son paquet UDP sera supprimé.

 

Politique de sécuritéJournal de trafic
security_policy_tracepath_default. pnglog_tracepath_default. png

Explication: c'est bArce tracepath utilise UDP avec un port aléatoire élevé. Si un service est défini sur "application-default", tracepath pourrait être refusé parce que dans la signature App-ID la plage de ports standard pour traceroute inclut uniquement ICMP/any et UDP/33434-33534.

 

 

Solution

Il y a deux solutions possibles:

 

1) Configurez larègle s ecurity pour autoriser l' application "traceroute" et le service "any".   Vous devrez également autoriser l'application "ICMP" et "ping" aussi bien parce que ces deux sont la dépendance d'application pour traceroute.

 

Politique de sécuritéJournal de trafic
security_policy_tracepath_any. pnglog_tracepath_any. png

 

 

 

2) demandez aux utilisateurs d'exécuter tracepath avec un port de destination spécifique «Starting» 33434. Remarque dans le journal de trafic, le port de destination s'incrémente de 33434 pour chaque saut. Encore une fois, permettant l'application ICMP & ping est encore nécessaire en raison de la dépendance de l'application traceroute.

 

Politique de sécuritéJournal de trafic
security_policy_tracepath_default. pnglog_tracepath_option. png

 

 

Voir aussi

Une stratégie peut-elle être configurée pour autoriser traceroute?



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqBCAS&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language