Comment permettre tracepath (UNIX/Linux Utility)
Resolution
Arrière-plan
tracepath is un UNIX/Linux-base utilitaire similaire à traceroute. Cependant, les différences entre les deux sont
- tracepath n'exige pas que les utilisateurs aient un privilège racine.
- tracepath utilise (et utilise uniquement) UDP avec un port aléatoire élevé. traceroute (sous UNIX/Linux) par défaut utilise également UDP avec la plage de destination port 33434-33534, mais a une option pour passer à ICMP (Windows traceroute toujours utiliser ICMP ).
Remarque: cette application s'applique à Pan-OS 5,0 ou ultérieur.
Détail
Si une règle de sécurité ne permet que l'application "traceroute" et le service "application-default" et il n'y a aucune autre règle suivante pour permettre le trafic tracepath alors son paquet UDP sera supprimé.
| Politique de sécurité | Journal de trafic |
|---|---|
Explication: c'est bArce tracepath utilise UDP avec un port aléatoire élevé. Si un service est défini sur "application-default", tracepath pourrait être refusé parce que dans la signature App-ID la plage de ports standard pour traceroute inclut uniquement ICMP/any et UDP/33434-33534.
Solution
Il y a deux solutions possibles:
1) Configurez larègle s ecurity pour autoriser l' application "traceroute" et le service "any". Vous devrez également autoriser l'application "ICMP" et "ping" aussi bien parce que ces deux sont la dépendance d'application pour traceroute.
| Politique de sécurité | Journal de trafic |
|---|---|
2) demandez aux utilisateurs d'exécuter tracepath avec un port de destination spécifique «Starting» 33434. Remarque dans le journal de trafic, le port de destination s'incrémente de 33434 pour chaque saut. Encore une fois, permettant l'application ICMP & ping est encore nécessaire en raison de la dépendance de l'application traceroute.
| Politique de sécurité | Journal de trafic |
|---|---|
Voir aussi
Une stratégie peut-elle être configurée pour autoriser traceroute?