Cisco ASA Firewall – PERMIT TRACEROUTE

Cisco ASA Firewall – PERMIT TRACEROUTE

Questo blog mostra differenttype di comandi che possono essere utilizzati per rendere i firewall ASA per permittraceroute traffico e di presentarsi sul percorso traceroute.

In questo modo è possibile ottenere l’elenco completo dei luppoli sul traceroute e non solo * * *.

Procedura di configurazione per abilitaretraceroute su un firewall ASA:

  1. per decrementare il contatore TTL:

politica-mappa global_policy

class class-default

setconnection decremento-ttl

  • Marca ASA per rispondere a traceroute andallow ICMP attraverso il firewall:

sh run | i icmp >>>>verificare se è già configurato.

icmp permit any echo-reply outside

icmp permit any time-exceededoutside

icmp permit any unreachable outside

  • Fai questo se devi eseguire traceroute dall’interno:

icmp consente qualsiasi interfaccia echo-replyINSIDE_INTERFACE >>>> metti qui l’interfacciahai bisogno.

icmp permesso in qualsiasi momento-exceededINSIDE_INTERFACE

icmp permettere a qualsiasi unreachableINSIDE_INTERFACE

  • Per ridurre il tasso-limite, quindi non tget * 1ms *:

sh run | i irraggiungibile >>>prendere nota del valore precedente, esempio: “icmp unreachable tasso-limite 1burst-misura 1”

icmp unreachable tasso-limite 10burst-dimensioni 5

  • Acl in base alle tue esigenze:
  • Per Windows / MTR / ping hai solo bisogno di permitICMP:

access-list outside_in extendedpermit icmp qualsiasi qualsiasi > > > regolare in base alle proprie esigenze.

access-list inside_in extended permiticmp any any>> > quando l’ispezione ICMP non è configurata,il firewall non crea una voce nella tabella di connessione per ICMP, quindi è necessario aprire ICMP bidirezionalmente.

  • Per il traceroute proveniente da Cisco e Unixche utilizza UDP:

access-list outside_in extendedpermit udp qualsiasi intervallo 33434-33464

  • Per abilitare l’ispezione ICMP in modo da non avere ACL bidirezionali configurati per ICMP:

sh esegui policy-map >>> controlla la configurazione esistente nel caso in cui sia già configurata.

politica-mappa global_policy

classe inspection_default

ispezionare icmp

Leave a Reply

Il tuo indirizzo email non sarà pubblicato.