一般社団法人 全国個人事業主支援協会

COLUMN コラム

  • SRXのtracerouteについて

SRX300にてtracerouteのポリシー作成時に詰まったことを記載します。

L3SWからFWを跨いでサーバーへの疎通確認時、FW以降tracerouteの応答無しという事態が発生。

また、tracerouteの送信元をwindowsサーバーにすると応答が返ってくるが、送信元をlinuxサーバーにするとL3SWと同様に応答がありませんでした。

調査の結果、原因は単純にICMPを使用したtracerouteのポリシーしか開いていなかったからでした。。。

linuxやciscoなどのNW機器はtracerouteをUDP:33434-33534で行うため、SRXでカスタムアプリケーションを作成してtracerouteが透過できるようにFWポリシーを作成する必要があります。

 

なんとなくPINGやtracerouteはICMPという先入観があったためFWポリシーの穴あけを忘れてしまいました。。。

ちなみにSRX自身がpingやtracerouteを応答するためには自身のACLで許可する必要があります。

もっと丁寧に設計していく必要があると感じました。

 

The following two tabs change content below.

大山 航

最新記事 by 大山 航 (全て見る)

この記事をシェアする

  • Twitterでシェア
  • Facebookでシェア
  • LINEでシェア