解決済み: Re:FTDを介したtraceroute

Translator · ‎2021-09-24

6.2.3 コードを実行している FMC によって管理される FTD2110 を通じて、内部ネットワークからインターネットに向かう traceroute を取得しようとしています。

ICMP タイプ 3 と 11 を外部から内側に接続できるようにするアクセスポリシーを作成しました。デバイスのプラットフォーム設定に ICMP 許可ステートメントを追加しました (外部インターフェイスの 3 と 11 は、any-ipv4 に対して)。

また、TTL をデクリメントする Flex 設定ステートメントも追加しました。

しかし、これはまだ機能していません。これはバグですか?サポート。

Translator · ‎2021-09-24

FTD 実行コンフィギュレーションの関連ビットは次のようになります。

icmp は、任意の時間を超えた<あなたの外部インターフェイス名> icmp は、
任意の到達不能な<あなたの外部インターフェイス名>を許可します
。
ポリシーマップ global_policy
<snip>inspect icmp 検査 
  icmp エラー クラス 
 クラスデフォルト
 <>
 設定接続デクリメント ttl

あなたはそれらを持っていることを確認できますか?

その場合、パケットトレーサー診断を試してみましたが、何が表示されますか?

元の投稿で解決策を見る

Translator · ‎2021-09-24

はい。私はちょうど私の研究室でそれを確認しました。

FDM デクリメント TTL

元の投稿で解決策を見る

Translator · ‎2021-09-24

リンクを確認する

https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/threat_defense_service_policies.html#id_71096

Translator · ‎2021-09-24

残念ながら、それも動作していません

GUI はルールを正しく解釈しません — OSPF(89) をポートとして追加しようとすると、デフォルトは "any" になります

しかし、それは根本的な問題ではありません。私が抱えている問題は、FTDがトレースルートトラフィック期間を過ぎることはなく、外部インターフェイス上のICMPをドロップすることです。私はTTLの問題にも到達しません

(私たちはまだASAを使用していたことを願っています.

Translator · ‎2021-09-24

あなたは packetu.com で指示を見たことがありますか?ポール・スチュワートは、そこに必要な構成を歩く素晴らしい仕事をします:

https://packetu.com/2018/08/12/traceroute-through-firepower-threat-defense/

私はいくつかのFTD展開でそのような作業をしています。

Translator · ‎2021-09-24

はい、CLI で設定を確認しました。すべてが正しく見えます。

Translator · ‎2021-09-24

FTD 実行コンフィギュレーションの関連ビットは次のようになります。

icmp は、任意の時間を超えた<あなたの外部インターフェイス名> icmp は、
任意の到達不能な<あなたの外部インターフェイス名>を許可します
。
ポリシーマップ global_policy
<snip>inspect icmp 検査 
  icmp エラー クラス 
 クラスデフォルト
 <>
 設定接続デクリメント ttl

あなたはそれらを持っていることを確認できますか?

その場合、パケットトレーサー診断を試してみましたが、何が表示されますか?

Translator · ‎2021-09-24

私は、より高く、問題を引き起こしたアクセスポリシーに別のルールがあったことが判明しました。

Translator · ‎2021-09-24

こんにちは

これは、トレースルートのホップとして FW を有効にするために FTD 6.5 FDM でサポートされていますか。

感謝。

Translator · ‎2021-09-24

はい。私はちょうど私の研究室でそれを確認しました。

FDM デクリメント TTL

Translator · ‎2024-05-31

icmp permit any time-exceeded <your outside interface name>
icmp permit any unreachable <your outside interface name>

FDMでこれを有効にしましたが、見つかりませんか？

Translator · ‎2024-06-01

これは、FDMでFlexconfigオブジェクトとポリシーを使用して実行できます。

Translator · ‎2023-07-19

プラットフォーム設定の下で、FMCを介してFTDのICMPポリシーを設定できることに気付きました。とにかく、OutsideインターフェイスのICMP any anyを拒否するポリシーを作成しようとしましたが、機能しませんでした。OutsideインターフェイスでICMPを拒否するには、単にフレックス設定を作成するのが最善の方法ですか。

Translator · ‎2023-07-19

@CiscoPurpleBeltコントロールプレーンACLを設定する場合は、flexconfigのみを使用します。FTDへのICMP「to*」は、プラットフォーム設定によって個別に制御されます。FTDを「通過する」トラフィックの制御は、ACPルールを介して行われます。

Translator · ‎2023-07-19

ありがとうございました。これは最初に試した内容ですが、エラーが発生しても適用されません。ソースとしてIPv4ネットワークを選択する必要がありました。

Translator · ‎2023-07-20

インターフェイスに対してpingを引き続き実行する場合は、これらのプラットフォームポリシーに暗黙のdenyが適用されているため、許可を実行する必要があります。正しいですか。コード0をブロックした場合（8を試しても）、その後にpermit any icmpを追加します。ping応答は無効になりませんが、pingの送信は許可されます。

Translator · ‎2023-07-20

@CiscoPurpleBelt：インターフェイスにICMPルールを設定すると、暗黙のdeny ICMPルールがICMPルールリストの最後に追加され、デフォルトの動作が変更されます。したがって、いくつかのメッセージタイプを単純に拒否する場合は、ICMPルールリストの最後にpermit anyルールを追加して、残りのメッセージタイプを許可する必要があります。

https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/platform_settings_for_firepower_threat_defense.html?bookSearch=true#task_42BBA666CD604517ADA18B32CA162F62

Translator · ‎2023-07-20

実行しましたが、何らかの理由で実際にPINGを実行できますが、Outsideインターフェイスは依然としてPINGを実行できます。0と8の両方をブロックしようとしましたが、リストの最後にあるpermit any icmpを使用して、外部インターフェイスでのpingを停止できません。

FTD を経由するトレースルート