如何允许 tracepath (Unix/Linux 实用程序)
48293
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:56 PM
Resolution
背景
tracepath 我是一个与 traceroute 类似的基于 Unix/Linux 的实用程序. 然而, 两者之间的差异是
- tracepath不要求用户具有 root 权限.
- tracepath使用 (和只使用) UDP 与随机高端口. 默认情况下, traceroute (在Unix/Linux 上) 还使用具有范围目标端口33434-33534 的 UDP, 但有一个切换到 icmp 的选项 (Windows traceroute 始终使用 icmp).
注:这适用于5.0 或更高版本的 PAN OS.
详细信息
如果安全规则只允许应用程序 "traceroute"和服务 "应用程序默认值" , 并且没有其他允许 tracepath 通信的后续规则, 则其 UDP 数据包将被丢弃.
安全策略 | 交通日志 |
---|
| |
说明: 这是 b因为 tracepath使用 UDP 与随机高端口. 如果某个服务被设置为 "应用程序默认值", tracepath 可能会被拒绝, 因为在应用程序 ID 签名中, traceroute 的标准端口范围仅包括 icmp/任何和 udp/33434-33534。
解决方案
有两种可能的解决方案:
1) 配置 security 规则以允许应用程序 "traceroute"和服务 "任意". 您还需要允许应用程序 "icmp" 和 "ping",因为这两个应用程序依赖于 traceroute.
安全策略 | 交通日志 |
---|
| |
2) 指示用户使用特定的"开始" 目标端口 33434运行 tracepath. 注意在通信日志中, 每个跃点的目标端口从33434递增。同样,由于 traceroute 应用程序依赖关系, 仍然需要允许应用程序 icmp 和 ping.
安全策略 | 交通日志 |
---|
| |
请参见
策略是否可以配置为允许 Traceroute?