Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 8 replies
  • Subscribers 2 subscribers
  • Views 2969 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

astaro fw visible in traceroute

gnujuba
hi aslusers,

we are running two astaro firewalls on pyramid hardware.

all icmp options under packet filter -> icmp are disabled. no further icmp rules are set up under the standard rules.
but still both firewall sending out "ttl exeeded in transit" icmp packets. this happens both for icmp and udp traceroutes. 

any ideas ?

thannx,

gnjb  


This thread was automatically locked due to age.
  • 0
    So, are you wondering why your firewall is still visible to traceroute from the "internet" or are you wondering why internal users cannot send out traceroutes?  If you are wondering about the first, there are configuration options to make your fw non-visible to traceroute commands and they work great.  Infact I believe "firewall is visible to traceroute" is disabled by default. If you can clarify a little you can probably get some more help.. 
  • 0 in reply to DavidCotton
    my firewalls are visible in a traceroute (udp AND icmp traceroutes) coming from the internet.
    as i wrote above, all icmp options are disabled. 
    i can see that the traceroute packets are dropped and logged by the firewall, but the firewall still sends out icmp: time exceeded in-transit - packets, which makes it visible.

    thanx,

    gnjb
      
  • 0 in reply to gnujuba
    Using forged packets with intentionally modified TTL is a type of attack that enables an attacker which knows he's dealing with a firewalled environment to gather info or even guess the structure of the network behind the firewall. This technique is called firewalking. Do a search on Google. The best solution is to put a specific drop rule on top Any ---> TTL Exceeded ---> Any Drop Log 
  • 0 in reply to Taharqa
    i know firewalk, tcptraceroute and stuff like  that.
    i am just asking why a configuration option in asl is not working as said/expected.

    can somebody from astaro give a comment, please !


    thanxs,

    gnjb  
  • 0 in reply to gnujuba
    Hi there, 

    just a short explanation.

    An icmp TTL exeeded in transit packet is only sent, 
    when the initial packet has been allowed by the packet filter.

    Means, if the initial UDP packet has been ACCEPTED by the packet filter, 
    the firewall declares the ttl icmp packets as RELATED, and lets it through.

    If you thighten your packetfilter to not allowing the probe packages to be
    accepted, this beahivor should go away.

    best rgds, 
    Gert

     
  • 0 in reply to Gert Hansen
    ok, then why are udp (port 34xxx up) and icmp packets accepted at the external firewall interface if i do a traceroute to host in the dmz ?

    i know you can not see my policy :-( but...
    - all icmp options are disabled
    -there is no other "allow" rule with some udp port in the packet filter policy (and of course no udp port range) 
    - no explicit "allow icmp" rules are in the packet filter policy

    again, the firewall is only visible when i do traceroutes to hosts in the dmz.  traceroutes (both udp and icmp) to the external interface of the firewall are dropped.

    any ideas ?? some one out there who tested this on asl 4.006 ???
    am i the only one with that effect ?

     thanxs in advance,

    gnjb