SRX300にてtracerouteのポリシー作成時に詰まったことを記載します。

L３SWからFWを跨いでサーバーへの疎通確認時、FW以降tracerouteの応答無しという事態が発生。

また、tracerouteの送信元をwindowsサーバーにすると応答が返ってくるが、送信元をlinuxサーバーにするとL３SWと同様に応答がありませんでした。

調査の結果、原因は単純にICMPを使用したtracerouteのポリシーしか開いていなかったからでした。。。

linuxやciscoなどのNW機器はtracerouteをUDP：33434-33534で行うため、SRXでカスタムアプリケーションを作成してtracerouteが透過できるようにFWポリシーを作成する必要があります。

なんとなくPINGやtracerouteはICMPという先入観があったためFWポリシーの穴あけを忘れてしまいました。。。

ちなみにSRX自身がpingやtracerouteを応答するためには自身のACLで許可する必要があります。

もっと丁寧に設計していく必要があると感じました。

The following two tabs change content below.

• この記事を書いた人
• 最新の記事

大山 航

最新記事 by 大山 航 (全て見る)

• WANで使用する接続形態について - 2022年2月17日
• 802.1Xオーセンティケータの認証ACL - 2022年1月29日
• 確定申告セミナーにいってみて - 2021年12月10日