LANからmtr / tracerouteを使用するためのファイアウォールルール
NAT経由でインターネットにアクセスできるLinuxコンピューターのLANがあります。ゲートウェイは制限付きファイアウォールを実行します。 ICMPエコー要求と応答がゲートウェイのファイアウォールを通過することを許可しているので、LANコンピューターから任意の外部ホストにpingを実行できますが、外部ホストへのmtrとtracerouteがゲートウェイホップでハングします。
これらのツールが正しく機能するためには、どのような追加のファイアウォールルールが必要ですか?
Linux tracerouteはデフォルトでランダムハイポートでUDPを使用しますが、WindowstracertはICMPを使用します。 Linuxマシンの場合、高ポートでUDPを許可するようにファイアウォールを構成するか、-Iコマンドラインスイッチを使用して、UDPデータグラムの代わりにICMPECHOの使用を指定する必要があります。
追加するために編集:デフォルトでは、割り当てられていないポート範囲内のランダムなポートを選択します。これは一般に「高ポート」と呼ばれます。通常、これは49152〜65535の範囲のポートを意味します( このポートリスト を参照)。マニュアルページでは、ホストがUDPデータグラムを情報として処理することを実際に望まないため、これをサービスが誤って実行される「ありそうもない値」と呼んでいます。必要に応じて、-pを使用してポートを指定できますが、UDPを使用する場合は、プローブごとに宛先ポートが1ずつ増加することに注意してください。一定のポートを使用する場合は、-Uスイッチを指定します(デフォルトのポートは53です)。または、UDPまたはICMPを使用したくない場合は、-Tスイッチを使用してTCP SYNモードを指定できます。これにより、-pで設定できる定数ポートが使用されます。次に、ファイアウォールでそのポートを開きます。
特権のないユーザーにはUDPのみが許可されます。