Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
tracepath (Unix/Linux ユーティリティ) を許可する方法 - Knowledge Base - Palo Alto Networks

tracepath (Unix/Linux ユーティリティ) を許可する方法

48293
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:56 PM


Resolution


バック グラウンド

 

tracepath is は、Unix/Linux ベースのユーティリティ traceroute に似ています。しかし、両者の違いは

 

  1. tracepathでは、ユーザーに root 権限を持たせる必要はありません。
  2. tracepathは、ランダムな高いポートで UDP を使用します。traceroute ( Unix/Linux) では、デフォルトでは、範囲の宛先ポート33434-33534 で UDP を使用しますが、icmp に切り替えるオプションがあります ( Windows traceroute は常に icmp を使用します)。

 

注:これは、PAN-OS 5.0 以降に適用されます。

 

詳細

 

セキュリティルールは、アプリケーション "traceroute"サービス "アプリケーション-デフォルト" を許可し、その後、その UDP パケットがドロップされ ます tracepath トラフィックを許可する他の後続のルールがない場合。

 

セキュリティ ポリシートラフィックのログ
security_policy_tracepath_defaultlog_tracepath_default

説明: これは because tracepath は、ランダムな高いポートで UDP を使用しています。サービスが "アプリケーションデフォルト" に設定されている場合、tracepath は、traceroute の標準ポート範囲が icmp/any および udp/33434 33534 のみを含むため、アプリケーション ID シグネチャでは拒否される可能性があります。

 

 

ソリューション

2つの可能な解決策があります:

 

1)アプリケーション "traceroute"サービス "any" を許可するように s セキュリティルールを設定します。  またこれらの2つは traceroute のアプリケーションの依存関係であるため、アプリケーションの "icmp" と "ping" も許可する必要があります。

 

セキュリティ ポリシートラフィックのログ
security_policy_tracepath_anylog_tracepath_any

 

 

 

2) 特定の "開始" 宛先ポート33434でtracepathを実行するようにユーザーに指示します。注: トラフィックログでは、宛先ポートは各ホップの33434からインクリメントされます。traceroute アプリケーションの依存関係により、アプリケーションの icmp と ping が依然として必要になることがあります。

 

セキュリティ ポリシートラフィックのログ
security_policy_tracepath_defaultlog_tracepath_option

 

 

また見なさい

Traceroute を許可するようにポリシーを構成することはできますか。



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqBCAS&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language