Solnuh писал(а):
сам модем не отвечает при истечении TTL в пакете, тоесть трэйс замедляется из-за ожидания таймаутов когда через него проходит, как это побороть?
странно, вроде как нет такой проблемы (а пакеты с какого интерфейса приходят ?):
-----
X:\tracert 195.34.32.10
Трассировка маршрута к ns.mtu.ru [195.34.32.10]
с максимальным числом прыжков 30:
1 <1 мс <1 мс <1 мс 10.10.10.10
2 22 ms 22 ms 23 ms 10.6.255.2
3 24 ms 22 ms 22 ms 6.spdop.mtu.ru [195.34.61.6]
4 25 ms 23 ms 24 ms spd-gw-GE-0-1-20.mtu.ru [195.34.53.97]
5 24 ms 22 ms 22 ms HGW2GE1-1-3.ssilan.mtu.ru [195.34.52.8]
6 24 ms 26 ms 25 ms ns.mtu.ru [195.34.32.10]
Трассировка завершена.
-----
Т.е. модем на первом hop'е без проблем ответил на пакет с TTL=1.. Это точно модем не отвечает - в системе ничего не фильтрует пакеты от модема ? Так же лучше проверить что default для private и public интерфейсов стоит в "accept" (если для любого из этих интерфейсов поставить "deny" - дальше адреса модема tracert не уйдёт). Так же если всё же хочется поставить на public интерфейсе default: deny, но чтобы tracert работал (на private всё равно лучше поставить default: accept), то создаём два правила и всё работает:
---
RuleID: 1
I/F: ALL
Direction: Outgoing
Rule: Accept
In I/F: ALL
Option: 1.Protocol eq ICMP, 2.ICMP Type Echo Request
RuleID: 2
I/F: ALL
Direction: Incoming
Rule: Accept
Option: 1.Protocol eq ICMP, 2.ICMP Type 11
---
первое правило разрешит отсылку эхо-запроса, второе - разрешит приём icmp time exceeded message от очередного hop'а.
Если причина будет найдена - результаты лучше сюда
P.S. как сейчас подтвердила тех. поддержка - копать нужно в сторону запретов для интерфейсов, конкретно следует проверить 310 правило (оно работает если security = middle или high:
Viktor Platov писал(а):
unk писал(а):
Сомнения вызывает строчка "Dest Addr : Self" - это означает IP-адреса любого из интерфейсов модема (в отличии от All или конкретного адреса) ? Если "да" - получается, что сам модем на ping или tracert "извне" (с public интерфейса) уже не ответит, но через себя icmp-пакеты будет пропускать без проблем (тот же NAPT) ?
Вот это верно.