Answer:
Для трассировки могут быть использован ICMP и UDP протокол. В данном примере мы рассмотрим использования для трассировки протокола ICMP. Разница в настройки между протоколами ICMP и UDP для трассировки, будет только в использовании сервиса traceroute-udp вместо ping-outbound, и необходимости создать политику NAT с этим сервисом для выхода его в интернет. Для разрешения трассировки, понадобиться изменить минимальное значение TTL и создать IP политики.
Изменение значения TTL.
Пример для CLI.
set Settings IPSettings TTLMin=1
Пример для веб интерфейса.
Пройдите в веб интерфейсе System → Advanced Settings → IP Settings. Измените значение TTL Min на 1 и нажмите Ок.
При создании политик следует учесть, что можно использовать не каждый ICMP сервис, а тот на котором разрешен возврат сообщение о «live time exceeded». Для этого изменим настройки сервиса ping-outbound и будем его использовать в IP политиках.
Изменение настроек сервиса.
Пример для CLI.
set Service ServiceICMP ping-outbound TimeExceeded=yes
Пример для веб интерфейса.
Пройдите в веб интерфейсе Objects → Services
Найдите сервис ping-outbound и кликните на него.
Перейдите на вкладку ICMP Parameters и включите параметр Time Exceeded, затем нажмите кнопку Ок.
Создание IP политик.
По умолчанию в системе есть правило с сервисом ping-outbound, которое разрешает пинговать внешние хосты, по этому будет достаточно создать только одну политику, которая разрешит доступ сервиса ping-inbound к core интерфейсу.
Пример для CLI.
add IPPolicy SourceInterface=lan1 SourceNetwork=InterfaceAddresses/lan1_net DestinationInterface=core DestinationNetwork=all-nets Service=ping-outbound Name=allow_trace_core Index=1
Пример для веб интерфейса.
Пройдите в веб интерфейсе Policies → Firewalling → Main IP Rules, нажмите кнопку Add, из выпадающего меню выберите IP Policy.
Заполните поля следующим образом:
Name: allow_trace_core
Source Interface: lan1
Source Network: lan1_net
Destination Interface: Core
Destination Network: all-nets
Service: ping-outbound
Нажмите кнопку Ок.
Поднимем правило на самый верх.
В примере создания правила через CLI в опции index, уже было задано корректное положение правила, поэтому делать дополнительных действий через CLI не надо.
Пример для веб интерфейса.
Кликните правой кнопкой мышки на правиле allow_trace_core
Сохраните и активируйте настройки.