FAQ-E1000防火墙如何屏蔽某几跳tracert信息

发布时间:  2012-07-17 浏览次数:  172 下载次数:  4
问题描述
Q:
客户需要屏蔽防火墙后某几跳的tracert回显信息(如routerIP),如何设置?
组网如下:
PC1---network---E1000-router--network---PC2
告警信息
Q:
客户需要屏蔽防火墙后某几跳的tracert回显信息(如routerIP),如何设置?
组网如下:
PC1---network---E1000-router--network---PC2
处理过程
A:
V2R1版本,可以使用域间ACL禁止每一跳回应的ttl报文来屏蔽需要的信息,在防火墙做如下acl应用到域间即可:
acl 3000
rule 0 deny icmp source x.x.x.x(需要屏蔽的IP) 0 icmp-type ttl-exceeded 
firewall interzone trust untrust 
packet-filter 3000 inbound 
而到了V2R6新版本,这之后的版本都通过对tracert报文做alg功能,复用了之前的会话进行转发,不用查包过滤,所以该版本均不支持对于tracert某几跳的IP做屏蔽。但是可以考虑通过下面的方法规避实现:
acl number 3005 
 rule 0 permit icmp source x.x.x.x(为需要不显示的ip地址) 0 icmp-type ttl-exceeded
进入端口所在域
 destination-nat 3005 address x.x.x.x(可以设置为一个不存在的ip地址,主要目的是为了让tracert应答报文不会回到内网tracert的pc) 
根因
Q:
客户需要屏蔽防火墙后某几跳的tracert回显信息(如routerIP),如何设置?
组网如下:
PC1---network---E1000-router--network---PC2
建议与总结
由于在新版本产品处理机制的改变,需要通过把回应的ttl报文nat为不存在地址实现屏蔽tracert的目的。

END