web-dev-qa-db-ja.com

ファイアウォールポリシーはping / tracertの試行には適用されませんか?

私はネットワーキングについてほとんど何も知らないので、これが愚かなまたは奇妙な質問であるならば、謝罪します。

当社のシステム管理/ ITサポートはコンサルティング会社に委託しています。私は彼らと協力して、ルーティングの問題を見つけようとしていました。ポリシーベースのルーティングが設定されており、接続の試行を別のルーターを介して特定のIP範囲にルーティングする必要があります。この接続を使用するプログラムがまだないので、tracertを介して正しく設定されていることを確認しようとしました。ポリシーは、それを別の接続に正しくルーティングすることがあり、それ以外の場合は、キャッチオールインターネット接続ポリシーで誤ってルーティングされていました。

私がコンサルティング会社で働いていた人はそれを理解できなかったので、彼はウォッチガードの担当者に連絡しなければなりませんでした。彼らは、デフォルトのインターネットルーティングポリシーが特定のIP範囲ポリシーよりもポリシーリストで上位にランク付けされていることが原因であると判断しました。これを調整した後も問題が続くと、担当者は、ファイアウォールポリシーはpingやtracertの試行に影響を与えず、設定された範囲のIPに接続しようとするプログラムは正しくルーティングされると述べました。

接続を使用する特定のアプリケーションでこれを確認する機会はまだありません。ただし、特定のIPへの接続試行の中には、IPがそのポリシーをトリガーするべきではない場合に、別の接続にランダムにルーティングされるものがあります。すべてのポリシーが正しく構成されているように見えるので、これはファイアウォールの問題だと思います。 ping/tracertに影響を与えないファイアウォールポリシーに関する担当者の主張にはメリットがありますか?これを修正するためにもう一度彼らに連絡する必要があるでしょうが、この男が彼が何について話しているのかを知っているかもしれないし、知らないかもしれないかどうかを事前に知りたかったのです。

2
John Straka

ping[〜#〜] icmp [〜#〜] を使用しています。通常、traceroute[〜#〜] udp [〜#〜 ] またはICMPトラフィック(Unix/Windowsの違い)。したがって、技術的には、使用されているプロトコルに基づいて、アプリケーションで生成された診断トラフィックから診断トラフィックを簡単に識別できるはずです(使用していると仮定すると [〜#〜] tcp [〜#〜] )。

したがって、ルーティングポリシーがTCPトラフィック(例として)にのみ適用されるように設定されている可能性があります。したがって、質問のステートメントは有効である可能性があります。ただし、これは管理者の特定の決定です。IP範囲に基づいて、タイプに関係なく、すべてのトラフィックにポリシーを適用することに問題はありません。したがって、必要に応じて、診断トラフィックは同じポリシーを使用します。実際、そもそもそうする方が合理的だと思います。

とはいえ、担当者にはメリットがあるかもしれないので、早めに解雇しないでください。しかし、あなたが言及している他の問題(ポリシーがトリガーされるべきではないときにトリガーされる)は、おそらくいくつかの構成の問題があることを意味するので、私は慎重に踏みます。したがって、彼may確かにnot彼が何について話しているのかを知らない可能性も同様にあります。

1
Karol J. Piczak

Karol Piczaによる良い答え-TCP、UDP、ICMPを区別する必要があります。トラブルシューティングに役立つ追加のポイントとして、traceprotoと呼ばれるLinuxのtooldを見てください。これは標準のtracerouteと非常に似ていますが、プロトコルとポートを指定できるという追加機能がありますが、標準のtracerouteはICMPのみを使用します。

2
Richard Keller