Since upgrading to build 5651 we can no longer perform trace routes with tracert.
I followed the guide at;
http://www.securepoint.de/support/topic.php?id=433
However, now I see in the logs that when performing a tracert, the ICMP type 11 packets are being dropped by the firewall even though they should be allowed back in as related/established traffic!
What can I do to fix this?
Is there a way I can explicity allow established/related traffic back in from any Sector? I do not want to have to define an inbound rule allowing ICMP 11.
NB: All other established related traffic is working fine.
The outbound rule has;
- any (ip)
- tracert (UDP 33434:33523)
- icmp-time-exeeded-related (ICMP 11)
- icmp-echo-reply (ICMP 0)
- icmp-echo-req (ICMP
----
Hallo,
Seit dem Update auf Build 5651 können wir nicht mehr wahrnehmen Trace-Routen mit tracert.
Ich folgte der Anleitung auf;
http://www.securepoint.de/support/topic.php?id=433
Aber jetzt sehe ich in den Protokollen, dass bei der Ausübung einer tracert, der ICMP-Typ 11 Pakete fallen gelassen werden von der Firewall, obwohl sie sollten die Möglichkeit zurück, als im Zusammenhang / Sitz Verkehr!
Was kann ich tun, um dieses Problem beheben?
Gibt es eine Möglichkeit, ich kann ausdrücklich erlauben niedergelassen / zugehörigen Verkehrsdaten zurück in einen Sektor aus? Ich möchte nicht haben, um eine eingehende Regelung ermöglicht ICMP 11.
Anmerkung: Alle anderen etablierten damit verbundenen Verkehrsdaten arbeitet gut.
Der Outbound-Regel hat;
- any (ip)
- tracert (UDP 33434:33523)
- icmp-time-exeeded-related (ICMP 11)
- icmp-echo-reply (ICMP 0)
- icmp-echo-req (ICMP