Question: Как разрешить трассировку на устройствах серии DFL?

Answer: 

Для трассировки могут быть использован ICMP и UDP протокол. В данном примере мы рассмотрим использования для трассировки протокола ICMP. Разница в настройки между протоколами ICMP и UDP для трассировки, будет только в использовании сервиса traceroute-udp вместо ping-outbound, и необходимости создать политику NAT с этим сервисом для выхода его в интернет. Для разрешения трассировки, понадобиться изменить минимальное значение TTL и создать IP политики.

Изменение значения TTL.

Пример для CLI.

set Settings IPSettings TTLMin=1

Пример для веб интерфейса.

Пройдите в веб интерфейсе System → Advanced Settings → IP Settings. Измените значение TTL Min на 1 и нажмите Ок.


При создании политик следует учесть, что можно использовать не каждый ICMP сервис, а тот на котором разрешен возврат сообщение о «live time exceeded». Для этого изменим настройки сервиса ping-outbound и будем его использовать в IP политиках.

Изменение настроек сервиса.

Пример для CLI.

set Service ServiceICMP ping-outbound TimeExceeded=yes

Пример для веб интерфейса.

Пройдите в веб интерфейсе Objects → Services

Найдите сервис ping-outbound и кликните на него.

Перейдите на вкладку ICMP Parameters и включите параметр Time Exceeded, затем нажмите кнопку Ок.

Создание IP политик.

По умолчанию в системе есть правило с сервисом ping-outbound, которое разрешает пинговать внешние хосты, по этому будет достаточно создать только одну политику, которая разрешит доступ сервиса ping-inbound к core интерфейсу.

Пример для CLI.

add IPPolicy SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=core DestinationNetwork=all-nets Service=ping-outbound Name=allow_trace_core Index=1

Пример для веб интерфейса.

Пройдите в веб интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add, из выпадающего меню выберите IP Policy.

Заполните поля следующим образом:

Name: allow_trace_core
Source Interface: lan1
Source Network: lan1_net
Destination Interface: Core
Destination Network: all-nets
Service: ping-outbound

Нажмите кнопку Ок.

Поднимем правило на самый верх.

В примере создания правила через CLI в опции index, уже было задано корректное положение правила, поэтому делать дополнительных действий через CLI не надо.

Пример для веб интерфейса.

Кликните правой кнопкой мышки на правиле allow_trace_core

Сохраните и активируйте настройки.