As políticas de firewall não se aplicam a tentativas de ping / tracert?

Navegue suas respostas
2

Eu não sei quase nada sobre redes, então peço desculpas se esta é uma pergunta estúpida ou estranha.

Nossa administração de sistemas / suporte de TI é terceirizada para uma empresa de consultoria. Eu estava trabalhando com eles para tentar descobrir um problema de roteamento. Temos uma configuração de roteamento baseada em política que deve encaminhar qualquer tentativa de conexão a um determinado intervalo de IPs por meio de um roteador separado. Como eu ainda não tenho o programa que vai usar essa conexão, eu estava tentando verificar se estava configurado corretamente via tracert. A política, às vezes, a encaminharia corretamente para a conexão separada, com o roteamento incorreto da política de conexão com a Internet "pega-tudo" no restante do tempo.

A pessoa com quem eu estava trabalhando da empresa de consultoria não conseguia descobrir, então ele teve que entrar em contato com seu representante na Watchguard. Eles determinaram que isso foi causado pela política de roteamento padrão da Internet sendo classificada na lista de políticas mais alta do que a política de faixa de IP específica. Quando o problema persistiu após o ajuste, o representante continuou dizendo que as políticas de firewall não afetariam de qualquer forma as tentativas de ping ou tracert, e que quaisquer programas que tentassem se conectar a um IP no intervalo definido seriam roteados corretamente. / p>

Ainda não tive a oportunidade de verificar isso com o aplicativo específico que usará a conexão. No entanto, estou vendo algumas tentativas de conexão a determinados IPs ser roteados aleatoriamente para a conexão separada quando os IPs não devem ter acionado essa política. Parece que todas as políticas estão configuradas corretamente, então eu acho que isso é um problema de firewall. A afirmação do representante sobre políticas de firewall que não afetam o ping / tracert tem algum mérito? Eu provavelmente terei que entrar em contato com eles novamente sobre corrigir isso, mas eu queria saber de antemão se esse cara pode ou não saber o que está falando.

    
por John Straka 31.05.2011 / 16:48

2 respostas

1

ping está usando ICMP , normalmente traceroute gera UDP ou tráfego ICMP (diferença Unix / Windows). Assim, tecnicamente você deve ser capaz de discernir facilmente o tráfego de diagnóstico gerado pelo aplicativo, baseado no protocolo usado (assumindo que ele esteja usando TCP ) .

Portanto, é possível que a política de roteamento esteja configurada para se aplicar apenas ao tráfego TCP (como um exemplo). Então a afirmação na sua pergunta pode ser válida . Mas seria uma decisão específica do administrador. Não deve haver nenhum problema com a aplicação da política a todo o tráfego, independentemente do tipo, com base nos intervalos de IP. Então, se eles quisessem, o tráfego de diagnóstico usaria a mesma política. Na verdade, acho que seria mais razoável fazê-lo em primeiro lugar.

Dito isto, o representante pode ter algum mérito, então você não deve dispensá-lo muito cedo. Mas eu iria com cuidado, como os outros problemas que você está mencionando (política desencadeada quando não deveria ser) significa que provavelmente há alguns problemas de configuração. Portanto, é igualmente provável que ele possa realmente não saber do que está falando.

    
por 31.05.2011 / 17:18
2

Boa resposta por Karol Picza - você precisa fazer a distinção entre TCP, UDP e ICMP. Como um ponto adicional para ajudá-lo a solucionar problemas, dê uma olhada em um toold do Linux chamado traceproto . É bastante semelhante ao padrão traceroute com a funcionalidade adicional de poder especificar um protocolo e uma porta, enquanto o traceroute padrão usa apenas o ICMP.

    
por 31.05.2011 / 23:27

Tags

Converte a VPN Site-to-Site do PIX para o ASA 8.2 Retransmissão do nome Linux NetBIOS