标题:
产品族: FAQ-从路由器、交换机网络设备tracert防火墙Eudemon1000e内部服务器不回显如何处理 网络安全 产品: Eudemon防火墙
现象描述: 1、防火墙外部用户从PC主机可以ping通及 tracert到内部服务器。
2、从路由器、交换机上可以ping通,但tracert内部服务器时到达防火墙时一直打*。
处理过程: 路由器、交换机网络设备处理tracert报文机制和pc不同,采用udp协议而非icmp协议。
原理为:首先发送一个ttl为1的udp报文,因此第一跳发送回一个icmp错误消息,指明
此数据报不能被发送;之后再发送一个ttl为2的报文,在第二跳返回ttl超时,这个过
程不断进行,直到到达目的地;在目的地,由于数据报中使用了无效的端口号(缺省为33
434),目的主机会返回一个icmp目的地不可达消息,该tracert操作结束。
备注:路由器、交换机网络设备发送tracert报文首包采用udp协议报文目的端口号默认
为33434(亦可指定特定端口号),之后每发送一报文目的端口号加1即33435、33436...;
且每ttl值连续发送3个报文,最大跳数为30(max hops: 30),即到达目的地最大端口
号为33524。
处理:在防火墙上制作策略放开目的端口放开udp destination-port 33434 to 33524 连
续90个端口号即可。在eudemon 1000e v100r003版本中制作策略:
#
ip service-set tracert type object
description for-router&swtich-tracert
service 0 protocol udp destination-port 33434 to 33524 description tracert
#
并在相应区域放开即可:
#
policy interzone local trust inbound
policy 0
action permit
policy service service-set tracert
policy service service-set icmp
#
policy interzone local untrust inbound
policy 0
action permit
policy service service-set tracert
policy service service-set icmp
#
policy interzone trust untrust inbound
policy 0
action permit
policy service service-set tracert
policy service service-set icmp
#