D-Link • Просмотр темы - DFL-800 режет команду tracert

Сообщения без ответов | Активные темы

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

DFL-800 режет команду tracert

Модераторы: Sergei Asmankin, Sergik, Vitaliy Korkunov

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Предыдущая тема | Следующая тема

Автор

Сообщение

GRiM

Заголовок сообщения: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 07:10

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

Не могу понять почему DFL режет tracert
Стоит разрешающее правило LAN to WAN1 all_services (all_icmp, all_udp, all_tcp)

Однако когда на компьютере в командной строке даю команду tracert
в логах DFL следующее:

2007-09-24 08:44:49 Warning IP_PROTO 07000014 TTLOnLow ICMP lan
192.168.0.20 65хх.хх.хх ttl_low drop rev=1 ttl=1 ttlmin=3 ipdatalen=72 icmptype=ECHO_REQUEST echoid=512 echoseq=58882

Вернуться наверх

Nevis

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 07:21

Зарегистрирован: Чт авг 09, 2007 10:46
Сообщений: 178

GRiM писал(а):

Если нужен tracert, уменьшай TTL c 3 до 1. Но не рекомендовал бы, это позволит "умным" получить много дополнительной информации о твой сетке.

Вернуться наверх

GRiM

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 08:11

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

Nevis писал(а):

А можно по подробнее где это делается? И не понятно как получить инфо о сетке если со стороны WAN все закрыто.

Вернуться наверх

Nevis

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 08:33

Зарегистрирован: Чт авг 09, 2007 10:46
Сообщений: 178

GRiM писал(а):

Nevis писал(а):

А можно по подробнее где это делается? И не понятно как получить инфо о сетке если со стороны WAN все закрыто.

Заходишь в System => Advanced Settings => IP Settings там ставишь TTL Min: 1 жмешь ок, и применяешь.

А как узнать это есть в нете.

Вернуться наверх

GRiM

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 08:55

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

не помогло! Поменял число 3 на 1.

Трассировка маршрута к ya.ru [87.250.251.8]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 * * ^C

Вернуться наверх

Nevis

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 10:10

Зарегистрирован: Чт авг 09, 2007 10:46
Сообщений: 178

GRiM писал(а):

В логах теперь на что ругается?

Вернуться наверх

GRiM

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 10:23

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

Вроде как пропускает, но трассировка не идет
2007-09-24 12:16:59 Info CONN 00600001 Allow_All ICMP lan wan1 192.168.0.20 213.180.204.8 conn_open rev=1 conn=open connsrcid=512 conndestid=512

трассировка на яндекс, а вот на www.ru:

2007-09-24 12:18:28 Info CONN 00600001 Allow_All ICMP lan wan1 192.168.0.20 194.87.0.50 conn_open rev=1 conn=open connsrcid=512 conndestid=512

тоже самое.

Allow_All - это группа которой разрешены все сервисы (all_icmp, all_udp, all_tcp)

Трассировка маршрута к ya.ru [213.180.204.8]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * ^C
C:\Documents and Settings\admin>tracert www.ru

Трассировка маршрута к www.ru [194.87.0.50]
с максимальным числом прыжков 30:

1 * * * Превышен интервал ожидания для запроса.
2 * * * Превышен интервал ожидания для запроса.
3 * * * Превышен интервал ожидания для запроса.
4 * * * Превышен интервал ожидания для запроса.
5 * * * Превышен интервал ожидания для запроса.
6 * * * Превышен интервал ожидания для запроса.
7 191 ms 174 ms 174 ms www.ru [194.87.0.50]

Трассировка завершена.

Последний раз редактировалось GRiM Пн сен 24, 2007 10:33, всего редактировалось 1 раз.

Вернуться наверх

Nevis

Заголовок сообщения: Re: DFL-800 режет команду tracert

Добавлено: Пн сен 24, 2007 10:26

Зарегистрирован: Чт авг 09, 2007 10:46
Сообщений: 178

GRiM писал(а):

Как выглядит само "разрешающее правило"?

Вернуться наверх

GRiM

Заголовок сообщения:

Добавлено: Пн сен 24, 2007 10:31

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service

Allow_All NAT lan Unlimited wan1 all-nets all_services

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн сен 24, 2007 10:59

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

GRiM писал(а):

Name Action SourceInterface SourceNetwork DestinationInterface DestinationNetwork Service

Allow_All NAT lan Unlimited wan1 all-nets all_services

Если правило только для трейса на DFL, то много лишнего. Сделай нечто вроде Allow LAN lan_net core All_core_addresses all_icmp.

core - обязательно
All_core_addresses - у меня это группа всех адресов на DFL.
Сейчас у меня нет под рукой своих настроек. Могу глянуть вечером. Но все работает. И TTL Min должен быть = 1.

Последний раз редактировалось YuriAM Пн сен 24, 2007 15:06, всего редактировалось 1 раз.

Вернуться наверх

GRiM

Заголовок сообщения:

Добавлено: Пн сен 24, 2007 11:15

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

Добавил правило:

Name Action SrsInt SrsNet DesInt DestNet Service
Allow_tracert Allow lan tracert core all-nets all_icmp

не работает, поменял Allow на NAT

Name Action SrsInt SrsNet DesInt DestNet Service
Allow_tracert NAT lan tracert core all-nets all_icmp

так же не работает.

а что за "MinSSL"? и где его искать?

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн сен 24, 2007 15:04

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

GRiM писал(а):

а что за "MinSSL"? и где его искать?

Прошу прощения. Немного я сглючил (f/w что-ли обновить?

).

System -> Advanced Settings -> IP Settings -> TTL Min = 1

Вернуться наверх

YuriAM

Заголовок сообщения:

Добавлено: Пн сен 24, 2007 18:16

Зарегистрирован: Вт июл 10, 2007 12:42
Сообщений: 7188
Откуда: Екатеринбург

Собственно, у меня из всех правил, (а их не так много) за трейс может отвечать только это:

allow_standard NAT all_services lan lannet wan_all all-nets

Как видно, оно почти не отличается от первоначального вида, который появляется после срабатывания мастера первоначальной настройки. и трейс работает.

Вернуться наверх

Stanislav Kozlov

Заголовок сообщения:

Добавлено: Пн сен 24, 2007 18:21

Трассировка работает на основе изминения TTL и ICMP ERR от хостов. На устройстве есть созданный сервис traceroute-udp, он используется в unix машинах, у них в качестве tracert используется udp. В win в качестве tracert используется ICMP. Для прохождения трассировки необходимо создать сервис ICMP с галкой allow icmp error messages и включить его в правила трассировки. Чтобы трассировался сам DFL, нужно создать правило к core/lan_ip

Вернуться наверх

GRiM

Заголовок сообщения:

Добавлено: Вт сен 25, 2007 06:49

Зарегистрирован: Чт сен 21, 2006 12:50
Сообщений: 109
Откуда: Surgut

Stanislav Kozlov писал(а):

Для прохождения трассировки необходимо создать сервис ICMP с галкой allow icmp error messages и включить его в правила трассировки.

Станислав, при создании нового сервиса не могу найти галку "allow icmp error messages"

Вернуться наверх

Страница 1 из 2

[ Сообщений: 18 ]

На страницу 1, 2 След.

Список форумов » Маршрутизаторы и Firewall

Часовой пояс: UTC + 3 часа

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 279

Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения