Error:
An unexpected error occurred. Please click Reload to try again.
Error:
An unexpected error occurred. Please click Reload to try again.
如何允许 tracepath (Unix/Linux 实用程序) - Knowledge Base - Palo Alto Networks

如何允许 tracepath (Unix/Linux 实用程序)

48293
Created On 09/26/18 13:49 PM - Last Modified 06/15/23 21:56 PM


Resolution


背景

 

tracepath 我是一个与 traceroute 类似的基于 Unix/Linux 的实用程序. 然而, 两者之间的差异是

 

  1. tracepath不要求用户具有 root 权限.
  2. tracepath使用 (和只使用) UDP 与随机高端口. 默认情况下, traceroute (在Unix/Linux 上) 还使用具有范围目标端口33434-33534 的 UDP, 但有一个切换到 icmp 的选项 (Windows traceroute 始终使用 icmp).

 

注:这适用于5.0 或更高版本的 PAN OS.

 

详细信息

 

如果安全规则只允许应用程序 "traceroute"服务 "应用程序默认值" , 并且没有其他允许 tracepath 通信的后续规则, 则其 UDP 数据包将被丢弃.

 

安全策略交通日志
security_policy_tracepath_default. pnglog_tracepath_default. png

说明: 这是 b因为 tracepath使用 UDP 与随机高端口. 如果某个服务被设置为 "应用程序默认值", tracepath 可能会被拒绝, 因为在应用程序 ID 签名中, traceroute 的标准端口范围仅包括 icmp/任何和 udp/33434-33534。

 

 

解决方案

有两种可能的解决方案:

 

1) 配置 security 规则以允许应用程序 "traceroute"服务 "任意".   您还需要允许应用程序 "icmp" 和 "ping",因为这两个应用程序依赖于 traceroute.

 

安全策略交通日志
security_policy_tracepath_any. pnglog_tracepath_any. png

 

 

 

2) 指示用户使用特定的"开始" 目标端口 33434运行 tracepath. 注意在通信日志中, 每个跃点的目标端口从33434递增。同样,由于 traceroute 应用程序依赖关系, 仍然需要允许应用程序 icmp 和 ping.

 

安全策略交通日志
security_policy_tracepath_default. pnglog_tracepath_option. png

 

 

请参见

策略是否可以配置为允许 Traceroute?



Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClqBCAS&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language