Résolu : Traceroute via FTD - Page 2

Translator · ‎23-09-2021

J’essaie de faire fonctionner traceroute de mon réseau interne vers Internet via un FTD2110 géré par FMC exécutant du code 6.2.3

J’ai créé une politique d’accès permettant les ICMP de type 3 et 11 de l’extérieur vers l’intérieur. J’ai ajouté des instructions d’autorisation ICMP dans les paramètres de plate-forme de l’appareil (3 et 11 sur l’interface externe à any-ipv4).

J’ai également ajouté l’instruction flex config pour décrémenter la durée de vie

Mais cela ne fonctionne toujours pas. Est-ce un bug ? Unsupported?

Translator · ‎19-07-2023

@CiscoPurpleBelt Si vous configurez une règle ICMP pour une interface, une règle ICMP implicite de refus est ajoutée à la fin de la liste de règles ICMP, modifiant ainsi le comportement par défaut. Ainsi, si vous voulez simplement refuser quelques types de message, vous devez inclure une règle permit any à la fin de la liste de règles ICMP pour autoriser les autres types de message.

https://www.cisco.com/c/en/us/td/docs/security/firepower/70/configuration/guide/fpmc-config-guide-v70/platform_settings_for_firepower_threat_defense.html?bookSearch=true#task_42BBA666CD604517ADA18B32CA162F62

Translator · ‎19-07-2023

Je l'ai fait et pour une raison quelconque, je suis en effet en mesure d'envoyer une requête ping OUT maintenant, mais l'interface externe est toujours pingable. J'ai essayé de bloquer 0, 8, les deux, etc., mais je ne peux pas arrêter les requêtes ping sur l'interface externe avec l'icmp permit any au bas de la liste.

Traceroute via FTD

Liens rapides