cancelar
Mostrando los resultados de 
Buscar en lugar de 
Quiere decir: 
cancel
998
Visitas
0
ÚTIL
14
Respuestas

Traceroute a través de FTD

Translator
Community Manager
Community Manager

Estoy tratando de que traceroute funcione desde mi red interna a Internet a través de un FTD2110 administrado por FMC que ejecuta código 6.2.3

Creé una política de acceso que permite ICMP tipo 3 y 11 desde el exterior hacia el interior. Agregué declaraciones de permiso ICMP en la Configuración de la plataforma para el dispositivo (3 y 11 en la interfaz externa a any-ipv4).

También agregué la instrucción de configuración Flex para decrementar el TTL

Pero esto todavía no está funcionando. ¿Es esto un error? ¿Sin fundamento?

2 SOLUCIONES ACEPTADAS

Soluciones aceptadas

Así es como deberían verse los bits relevantes en una configuración de ejecución FTD:

icmp permite cualquier tiempo excedido <su nombre de interfaz externo>
icmp permite cualquier <su nombre de interfaz externo>
!
policy-map global_policy
<snip>inspect
  icmp 
  inspect icmp error class 
 class-default
 <snip>set connection
 decrement-ttl

¿Puede confirmar que los tiene?

Si es así, ¿ha probado un diagnóstico de trazador de paquetes y qué muestra?

Ver la solución en mensaje original publicado

Sí. Lo acabo de confirmar en mi laboratorio.

FDM Decrement TTLTTL decremento FDM

Ver la solución en mensaje original publicado

14 RESPUESTAS 14

Desafortunadamente, eso tampoco está funcionando.

La GUI no interpreta la regla correctamente: cuando intenta agregar OSPF(89) como puerto, simplemente se convierte en "cualquiera"

Pero ese no es el problema de fondo. El problema que tengo es que el FTD no pasará el período de tráfico de traceroute, está dejando caer el ICMP en la interfaz externa. Ni siquiera entiendo el tema de TTL

(deseando que todavía estuviéramos usando el ASA ...)

¿Has visto las instrucciones en packetu.com? Paul Stewart hace un buen trabajo al caminar a través de la configuración necesaria allí:

https://packetu.com/2018/08/12/traceroute-through-firepower-threat-defense/

Lo tengo funcionando así en varias implementaciones de FTD.

Sí, lo hice, y verifiqué la configuración en CLI. Todo parece correcto.

Así es como deberían verse los bits relevantes en una configuración de ejecución FTD:

icmp permite cualquier tiempo excedido <su nombre de interfaz externo>
icmp permite cualquier <su nombre de interfaz externo>
!
policy-map global_policy
<snip>inspect
  icmp 
  inspect icmp error class 
 class-default
 <snip>set connection
 decrement-ttl

¿Puede confirmar que los tiene?

Si es así, ¿ha probado un diagnóstico de trazador de paquetes y qué muestra?

Resulta que había otra regla en la política de acceso que estaba más arriba y causaba el problema.

Hola

¿Es esto compatible con FTD 6.5 FDM para habilitar el FW como un salto en la ruta de seguimiento?

gracias.

Sí. Lo acabo de confirmar en mi laboratorio.

FDM Decrement TTLTTL decremento FDM

Translator
Community Manager
Community Manager

He observado que puede establecer una política ICMP para FTD a través de FMC en Configuración de la plataforma. De todos modos, intenté crear una política para denegar ICMP cualquier interfaz externa, pero no funcionó. ¿Es sólo crear una configuración flexible la mejor manera de denegar el ICMP en una interfaz externa, digamos?

Translator
Community Manager
Community Manager

@CiscoPurpleBelt sólo utilizaría flexconfig si configurara una ACL del plano de control. El ICMP "a* a FTD se controla por separado mediante la configuración de la plataforma. El control del tráfico "a través" del FTD se realiza a través de las normas ACP.

Translator
Community Manager
Community Manager

Muchas gracias de nuevo. Eso es lo que intenté inicialmente, pero nunca se aplicó dado un error - solo tenía que elegir redes IPv4 como fuente.

Translator
Community Manager
Community Manager

Si aún quiero poder hacer ping en la interfaz, ¿necesita hacer un permiso porque se aplica una negación implícita a estas políticas de plataforma? Si bloqueo el código 0 (incluso lo intenté con el código 8), luego añado un permit any icmp después de él, no inhabilita las respuestas de ping pero sí permite pings out. 

Translator
Community Manager
Community Manager

@CiscoPurpleBelt Si configura cualquier regla ICMP para una interfaz, se agrega una regla ICMP de denegación implícita al final de la lista de reglas ICMP, lo que cambia el comportamiento predeterminado. Por lo tanto, si simplemente desea denegar algunos tipos de mensajes, debe incluir una regla permit any al final de la lista de reglas ICMP para permitir el resto de los tipos de mensajes.

https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/platform_settings_for_firepower_threat_defense.html?bookSearch=true#task_42BBA666CD604517ADA18B32CA162F62

 

Translator
Community Manager
Community Manager

Lo hice y por alguna razón, puedo hacer ping OUT ahora, pero la interfaz externa todavía es ping. Intenté bloquear 0, 8, ambos, etc. pero no puedo detener los pings en la interfaz externa con el permiso de cualquier ICMP en la parte inferior de la lista. 

Vamos a comenzar

¡Conecte con otros expertos de Cisco y del mundo! Encuentre soluciones a sus problemas técnicos o comerciales, y aprenda compartiendo experiencias.

Queremos que su experiencia sea grata, le compartimos algunos links que le ayudarán a familiarizarse con la Comunidad de Cisco: