Solucionado: Traceroute a través de FTD - Página 2

Translator · ‎09-23-2021

Estoy tratando de que traceroute funcione desde mi red interna a Internet a través de un FTD2110 administrado por FMC que ejecuta código 6.2.3

Creé una política de acceso que permite ICMP tipo 3 y 11 desde el exterior hacia el interior. Agregué declaraciones de permiso ICMP en la Configuración de la plataforma para el dispositivo (3 y 11 en la interfaz externa a any-ipv4).

También agregué la instrucción de configuración Flex para decrementar el TTL

Pero esto todavía no está funcionando. ¿Es esto un error? ¿Sin fundamento?

Translator · ‎07-19-2023

@CiscoPurpleBelt Si configura cualquier regla ICMP para una interfaz, se agrega una regla ICMP de denegación implícita al final de la lista de reglas ICMP, lo que cambia el comportamiento predeterminado. Por lo tanto, si simplemente desea denegar algunos tipos de mensajes, debe incluir una regla permit any al final de la lista de reglas ICMP para permitir el resto de los tipos de mensajes.

https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/platform_settings_for_firepower_threat_defense.html?bookSearch=true#task_42BBA666CD604517ADA18B32CA162F62

Translator · ‎07-19-2023

Lo hice y por alguna razón, puedo hacer ping OUT ahora, pero la interfaz externa todavía es ping. Intenté bloquear 0, 8, ambos, etc. pero no puedo detener los pings en la interfaz externa con el permiso de cualquier ICMP en la parte inferior de la lista.