linux防火墙禁用traceroute,raw socket traceroute权限拒绝处理

最新推荐文章于 2024-07-18 11:35:17 发布
最新推荐文章于 2024-07-18 11:35:17 发布
阅读量1.5k 收藏
点赞数
文章标签: linux防火墙禁用traceroute

一、问题现象

现网一台SuSE主机,在使用traceroute直接进行测试路由信息时可以正常返回(默认使用udp),当换用tcp协议指定端口时,提示权限拒绝,具体如下:

# traceroute 192.168.23.22 -T -q 10 -f 4 -p 7280

unable to create ICMP recv socket: Permission denied

二、问题分析

1、strace跟踪

先在redhat上使用该命令进行测试,发现可以正常返回结果 。接下来使用strace命令进行跟踪处理,并将结果输入到文件和正常的主机上进行对比。

strace -f -t -o /tmp/trace.txt traceroute 192.168.23.22 -T -q 10 -f 4 -p 7280

结果如下:

a1cac18f702c3b0826fc51bc7e580bc9.png

发现主机在权限被拒绝之前并未有异常提示。

2、使用审计服务进行审计

Auditd实现文件操作记录和审计我之前在博文中有提到过。启用审计服务,我临时增加如下规则:

auditctl -w /usr/sbin/traceroute -p r

执行完成后,在审计日志中发现如下内容:

5a7d91039f8a5a44b79d9ae0f54a962f.png

从中可以发现,被拒绝类型里有APPARMOR_DENIED。apparmor是SuSE下的一个类似于redhat下的SELinux的东西,通过rcapparmor stop关闭该服务后,再进行traceroute使用raw socket 进行tcp 路由跟踪,发现可以正常执行。

如果审计信息比较多的话,也可以通过如下命令查看最近的审计日志:

# ausearch -ts recent

----

time->Fri Jul 14 11:26:27 2017

type=DAEMON_START msg=audit(1500002787.761:2610): auditd start, ver=1.7.7 format=raw kernel=2.6.32.54-0.3-default auid=1001 pid=24877 subj=unconfined res=success

----

time->Fri Jul 14 11:28:02 2017

type=APPARMOR_DENIED msg=audit(1500002882.357:48): operation="socket_create" pid=31415 parent=2489 profile="/usr/sbin/traceroute" family="inet" sock_type="raw" protocol=1

三、其他

这个问题并不复杂,这里列出来同样是想给出一种分析问题的手段和方法 。当然,这里问题只是通过关服务的方式解决,如果想即不关 apparmor服务又想解决的话,就需要修改/etc/apparmor里的相关策略进行解决 。

喵星人向前冲
关注
Linux: command: traceroute & traceroute6 & tracepath & tracepath6
mzhan017的博客
02-04 754
在现代化的网络环境里,传统的traceroute方式可能不再适用,因为防火墙的存在。这个命令所需要的参数只有目的的IP地址。首先使用较小的ttl值,这样在路由器做减减操作时,如果发现ttl等于0,就说明time exceeded,就会返回ICMP消息。可能的原因是路由器的配置,将traceroute发送的包给丢了,或者其他配置问题。然后再慢慢增加ttl值,来判断走到哪里了,默认的最大值是30,也就是最多检测30跳。这次全星号的问题,怀疑是第一跳对于这个目的都没有路由信息,导致第一跳就没转发出去包。
kali linux 支持什么编程语言_渗透过程中可能要用到的Kali工具小总结
weixin_39576066的博客
10-24 2746
渗透过程中可能要用到的Kali工具小总结写在最前面最近在搞渗透的时候,发现过程中有一些kali工具还是很适合使用的所以写一个渗透过程中可能用到的kali渗透工具的小小总结写的不对 多多包涵 各位大佬轻喷 :DKali用得好 牢饭准管饱渗透不规范 亲人两行泪先来了解一下Kali(From Wikipdeia)Kali Linux是基于Debian的Linux发行版, 设计用于数字取证操作系统。由Of...
linux 禁用traceroute_Linux网络诊断工具之mtr使用指南
weixin_28790465的博客
01-01 1672
请关注本头条号,每天坚持更新原创干货技术文章。如需学习视频,请在微信搜索公众号“智传网优”直接开始自助视频学习1. mtr功能介绍本文主要介绍mtr命令,该工具是Linux中有一个非常优秀的网络连通性测试工具,它结合了ping, traceroute,nslookup 的相关特性。它把 ping和 traceroute 的功能并入了同一个工具中,所以功能更强大。以CentOS7.5最小化安装为例,...
nmap报错Couldn‘t open a raw socket. Error: Permission denied (13)处理办法
最新发布
weixin_44665693的博客
07-18 236
2、再次执行snap,执行成功,问题解决。
防火墙如可禁止tracert但允许ping
weixin_34087301的博客
11-09 4636
问题描述 FAQ: 用户想在网络中禁止tracert,但允许ping。在策略中deny掉了icmp协议,tracert和ping都被禁止了。 告警信息 无 处理过程 在我们的设备上: ping时发出的报文类型为echo,类型码为8,回应报文的类型为echo-reply,类型码为0 tracert时,发出的报文类型和ping相同(但ttl值不同);返回的i...
禁用拼和traceroute
ziruominglin的专栏
01-03 7223
#-A INPUT -p icmp -j ACCEPT -A INPUT -p icmp -j REJECT
服务——Linux网络设置
weixin_67565536的博客
04-13 2446
查看网络配置 查看网络接口信息ifconfig 查看所有活动的网络接口信息 执行ifconfig命令 查看指定的网络接口信息 ifconfig网络接口 第一行:以太网卡的名字不是常用的eth0,变成了ens33 其中en代表以太网卡 ens33代表PCI接口的物理位置为(0,3),其中横坐标代表bus,纵坐标代表slot UP:代表此网络接口为启用状态(down为关闭状态) RUNNING:代表网卡设备已连接 MULTICAST:表示支持组播 MTU:为...
linux网络配置
HB199753的博客
08-28 249
一、网络配置文件 1、查看网络接口信息 ifconfig #显示已启用的网络接口,不包括禁用的设备 ens33: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500 inet 192.168.245.211 netmask 255.255.255.0 broadcast 192.168.245.255 inet6 fe80::20c:29ff:fef4:bf17 prefixlen 64 sco...
Linux 下C 网络编程之 socket RAW
thewebcode
04-27 387
模拟 Ping //============================================================================ // Name : raw_myping.cpp // Author : gaotong // Version : // Copyright : Your copyright n...
socket编程connect提示Permission denied
jikunbupt的专栏
03-27 8086
socket编程,客户端通过connect连接server时报错“Permission denied”,原因是server端创建的监听设备的可读写执行的权限问题,将监听设备的可读写执行权限修改至最高权限问题解决。 例如:server端有一个这样的监听设备: unix 2 [ ACC ] SEQPACKET LISTENING 369828353 10625/./x...
traceroute命令
aletero的专栏
07-31 1641
通过traceroute我们可以知道信息从你的计算机到互联网另一端的主机是走的什么路径。当然每次数据包由某一同样的出发点(source)到达某一同样的目的地(destination)走的路径可能会不一样,但基本上来说大部分时候所走的路由是相同的。linux系统中,我们称之为traceroute,在MS Windows中为tracert。 traceroute通过发送小的数据包到目的设备直到其返回,
docker容器启动时会报 socket permission denied或者listen tcp port failed 等错误的原因
u014062332的专栏
08-27 5437
最近在deepin系统上装了个snap,应该是给启用了apparmor这个东东,导致原本运行正常的docker 容器在在使用socket监听网络端口时会报 socket permission denied或者 listen tcp port xxx:failed的错误 排查了好久才找到蛛丝马迹,可能是和apparmor这个linux安全策略软件系统有关,由于时间关系没有仔细去研究这个玩意儿, ...
Linux非root用户使用socket出现“Permission denied”解决方式
热门推荐
chengwei_peng
12-12 1万+
非root用户使用socket出现“Permission denied”解决方式
liunx禁ping 详解traceroute的不同用法
萌兔兔MMQ!!
07-05 1927
Linux虚拟机下可以Ping通目的地址,但是不能traceroute,只能到网关。原因:windows的tracert预设是走ICMP协议,而linuxtraceroute则预设走UDP协议,若两端点之间的UDP connection被任何firewall挡掉, 那 traceroute 就不行了.解决方法:traceroute -I 加I参数改用ICMP协议 Linux系统的ping命令是常用的网络命令,它通常用来测试与目标主机的连通性,我们经常会说“ping一下某机器,看是不是开着”、不能打开网页
pod里使用ping或者permission denied权限问题
落雪映青衣的博客
08-01 2885
k8s Security Context配置
Linux raw socket
liuxingen的专栏
05-10 1万+
Linux raw socket==========================================1. 为什么要详细了解raw socket呢? 其实很早以前就对原始套接字有了一定的了解,那时候还做过一个小的抓包程序,当时以为对原始套接字很熟悉了,但是最近在看nmap的时候被其中的一句话给整迷糊了。  在《Nmap Network Discovery III》的SYN scan章
Linux traceroute命令详解与使用
"这篇教程详细介绍了Linux中的traceroute命令,它是用来追踪网络数据包从源到目的地所经过的路由路径的工具。traceroute通过发送不同生存时间(TTL)的UDP数据包到目标主机,记录每次数据包经过的路由器IP地址,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值