tracepath (Unix/Linux ユーティリティ) を許可する方法
Resolution
バック グラウンド
tracepath is は、Unix/Linux ベースのユーティリティ traceroute に似ています。しかし、両者の違いは
- tracepathでは、ユーザーに root 権限を持たせる必要はありません。
- tracepathは、ランダムな高いポートで UDP を使用します。traceroute ( Unix/Linux) では、デフォルトでは、範囲の宛先ポート33434-33534 で UDP を使用しますが、icmp に切り替えるオプションがあります ( Windows traceroute は常に icmp を使用します)。
注:これは、PAN-OS 5.0 以降に適用されます。
詳細
セキュリティルールは、アプリケーション "traceroute"とサービス "アプリケーション-デフォルト" を許可し、その後、その UDP パケットがドロップされ ます tracepath トラフィックを許可する他の後続のルールがない場合。
| セキュリティ ポリシー | トラフィックのログ |
|---|---|
説明: これは because tracepath は、ランダムな高いポートで UDP を使用しています。サービスが "アプリケーションデフォルト" に設定されている場合、tracepath は、traceroute の標準ポート範囲が icmp/any および udp/33434 33534 のみを含むため、アプリケーション ID シグネチャでは拒否される可能性があります。
ソリューション
2つの可能な解決策があります:
1)アプリケーション "traceroute"とサービス "any" を許可するように s セキュリティルールを設定します。 また、これらの2つは traceroute のアプリケーションの依存関係であるため、アプリケーションの "icmp" と "ping" も許可する必要があります。
| セキュリティ ポリシー | トラフィックのログ |
|---|---|
2) 特定の "開始" 宛先ポート33434でtracepathを実行するようにユーザーに指示します。注: トラフィックログでは、宛先ポートは各ホップの33434からインクリメントされます。traceroute アプリケーションの依存関係により、アプリケーションの icmp と ping が依然として必要になることがあります。
| セキュリティ ポリシー | トラフィックのログ |
|---|---|
また見なさい