Create a Post
cancel
Showing results for 
Search instead for 
Did you mean: 
Mikhail_Demin
Explorer

Дропы пакетов с IP option

Наблюдаются дропы пакетов с IP option (в частности, 136). sk62082 не помогла. Есть ли какие-то иные способы разрешить прохождение трафика с IP option, не прибегая к обновлению? Сейчас шлюз и сервер управления на 77.30.

0 Kudos
6 Replies
_Val_
Admin
Admin

Что показывает команда
fw tab -t allowed_ipopts_proto
?

0 Kudos
Mikhail_Demin
Explorer

-------- allowed_ipopts_proto --------
static, id 227
<00000002, 00000094>
<00000011, 00000088>
<00000067, 00000094>

То есть все настроено верно - разрешено прохождение пакетов с IP Option 136 (00000088) по UDP (00000011). Но дропы пакетов как раз с такими свойствами и наблюдаются
0 Kudos
_Val_
Admin
Admin

Логично. для TCP, UDP & ICMP только NOP & EOL опции будут работать.

Можно открыть суппорт-кол, но думаю, ответ будет точно таким же

0 Kudos
Mikhail_Demin
Explorer

Таким же в смысле обновляться до 80-й версии? Просто насколько я вижу, подобные проблемы с IP Option наблюдаются и у пользователей, например, 80.20: https://community.checkpoint.com/t5/Access-Control-Products/let-ip-option-field-quot-security-quot-p.... Также наткнулся на sk93809, и там фикс заключается в правке $FWDIR/boot/modules/fwkern.conf. Нет ли интересно каких-то аналогичных параметров, которые можно было бы добавить в этот конфигурационный файл, но уже не для ICMP?

0 Kudos
_Val_
Admin
Admin

Откройте кейс. Спасибо

0 Kudos
Mikhail_Demin
Explorer

Хорошо, спасибо за ответ!
0 Kudos
Upcoming Events

    CheckMates Events