H3C防火墻開(kāi)啟路由跟蹤-創(chuàng)新互聯(lián)

有時(shí)為了排查網(wǎng)絡(luò)的連通性需要用到Traceroute,然而有的設(shè)備默認(rèn)并不開(kāi)啟路由跟蹤,在排查故障的時(shí)候有時(shí)會(huì)要用到tracert來(lái)判斷路由的正確性。
 機(jī)房里有一臺(tái) H3C SecPath 和天融信防火墻相連,其他還有幾臺(tái)路由設(shè)備。在天融信上做了路由,訪問(wèn)的時(shí)候不通,由于路由設(shè)備較多,排查的時(shí)候使用tracert到H3C的設(shè)備就不通了,SecPath 沒(méi)有ip ttl-expires enable、ip unreachables enable、ip df-unreachables enable這樣的命令,于是考慮做訪問(wèn)策略,寫(xiě)了以下策略用在了SecPath的主機(jī)相連端口進(jìn)方向:

創(chuàng)新互聯(lián)建站長(zhǎng)期為1000+客戶提供的網(wǎng)站建設(shè)服務(wù),團(tuán)隊(duì)從業(yè)經(jīng)驗(yàn)10年,關(guān)注不同地域、不同群體,并針對(duì)不同對(duì)象提供差異化的產(chǎn)品和服務(wù);打造開(kāi)放共贏平臺(tái),與合作伙伴共同營(yíng)造健康的互聯(lián)網(wǎng)生態(tài)環(huán)境。為茂南企業(yè)提供專業(yè)的成都網(wǎng)站建設(shè)、網(wǎng)站建設(shè),茂南網(wǎng)站改版等技術(shù)服務(wù)。擁有十多年豐富建站經(jīng)驗(yàn)和眾多成功案例,為您定制開(kāi)發(fā)。

rule 1 permit icmp icmp-type echo      #回顯請(qǐng)求
rule 2 permit icmp icmp-type echo-reply    #回顯應(yīng)答
rule 3 permit icmp icmp-type ttl-exceeded   #ICMP超時(shí)響應(yīng)報(bào)文
rule 4 permit icmp icmp-type port-unreachable  #ICMP端口不可達(dá)

然后trace經(jīng)SecPath,還是不行,在官網(wǎng)找了資料,相關(guān)配置說(shuō):

 firewall defend tracert 命令用來(lái)打開(kāi)tracert 報(bào)文***防范功能

  當(dāng)時(shí)比較著急并未理解這句話的含義,把這個(gè)命令敲上了還是不行,為進(jìn)一步排查打開(kāi)了debug功能:
terminal debugging
terminal monitor
debugging firewall packet-filter all
找到了相關(guān)報(bào)文:

H3C防火墻開(kāi)啟路由跟蹤

唯一覺(jué)得比較有問(wèn)題的地方就是:rcvIfName(1023)=InLoopBack0

這里出現(xiàn)了一個(gè)環(huán)回接口,難道相關(guān)報(bào)文被丟到了InLoopBack0,查找配置文件沒(méi)發(fā)現(xiàn) InLoopBack0接口的配置,所以我覺(jué)得在圖形界面里又該有相關(guān)設(shè)置,在最相關(guān)的“防火墻管理”、“***防范里”有一項(xiàng)“路由跟蹤***”,將該項(xiàng)去掉,然后再試果然可以了!!

 通過(guò)對(duì)比之前的配置文件發(fā)現(xiàn)少了一句firewall defend tracert,這時(shí)才明白這條命條是打開(kāi)報(bào)文***防范功能,而不是tracert!一時(shí)疏忽竟繞了個(gè)大彎子?,F(xiàn)在trace 也可以通過(guò)天融信防火墻,該條命令不但阻止本地路由被跟蹤其他經(jīng)過(guò)的報(bào)文也會(huì)被丟棄。
至此,具體配置可以這樣:

 1、在內(nèi)部接口的IN方向:
 rule 0 permit icmp source X.X.X.X 0 #想要允許的IP

 以下規(guī)則禁止其他所有ping內(nèi)網(wǎng)
 rule 1 deny icmp destination 10.0.0.0 0.255.255.255 icmp-type echo
 rule 2 deny icmp destination 172.16.0 0.15.255.255 icmp-type echo
 rule 3 deny icmp destination 192.168.0.0 0.0.255.255 icmp-type echo

 所有主機(jī)可以ping外網(wǎng)
 rule 4 deny icmp icmp-type echo

 其他類型的ICMP報(bào)文(tracert)禁止通行
 rule 10 deny icmp

 2、在設(shè)備外部接口的IN方向

 無(wú)限制的IP
 rule 0 permit icmp source X.X.X.X 0

 允許所有主機(jī)ping外網(wǎng)的回顯報(bào)文
 rule 1 permit icmp icmp-type echo-reply

 允許Tracert的回顯信息
 rule 2 permit icmp icmp-type ttl-exceeded
 rule 3 permit icmp icmp-type port-unreachable #最好有這一條traceroute需要port-unreachable的ICMP返回包
 rule 10 deny icmp     #其他禁用

 當(dāng)然首先關(guān)閉防路由跟蹤功能:undo firewall defend tracert

 以上設(shè)置完后只有允許的IP可以無(wú)限使用ICMP,其他主機(jī)只能使用ping,且只能ping通外網(wǎng)地址,互聯(lián)網(wǎng)用戶不能使用ICMP與外網(wǎng)設(shè)備通信,這樣設(shè)置相對(duì)安全。

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無(wú)理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站名稱:H3C防火墻開(kāi)啟路由跟蹤-創(chuàng)新互聯(lián)
文章網(wǎng)址:http://muchs.cn/article40/dcopeo.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供定制網(wǎng)站、網(wǎng)站設(shè)計(jì)、網(wǎng)站改版、面包屑導(dǎo)航、移動(dòng)網(wǎng)站建設(shè)、微信小程序

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來(lái)源: 創(chuàng)新互聯(lián)

h5響應(yīng)式網(wǎng)站建設(shè)