SRX300にてtracerouteのポリシー作成時に詰まったことを記載します。
L3SWからFWを跨いでサーバーへの疎通確認時、FW以降tracerouteの応答無しという事態が発生。
また、tracerouteの送信元をwindowsサーバーにすると応答が返ってくるが、送信元をlinuxサーバーにするとL3SWと同様に応答がありませんでした。
調査の結果、原因は単純にICMPを使用したtracerouteのポリシーしか開いていなかったからでした。。。
linuxやciscoなどのNW機器はtracerouteをUDP:33434-33534で行うため、SRXでカスタムアプリケーションを作成してtracerouteが透過できるようにFWポリシーを作成する必要があります。
なんとなくPINGやtracerouteはICMPという先入観があったためFWポリシーの穴あけを忘れてしまいました。。。
ちなみにSRX自身がpingやtracerouteを応答するためには自身のACLで許可する必要があります。
もっと丁寧に設計していく必要があると感じました。
入会申込
ログイン
