Cisco ASA Firewall-povolení TRACEROUTE
tento blog ukazuje differenttype příkazů, které mohou být použity k tomu, aby brány firewall ASA povolovaly provoz a zobrazovaly se na cestě traceroute.
tímto způsobem můžete získat úplný seznam chmele na traceroute a ne jen * * *.
konfigurační kroky k enabletraceroute na ASA firewallu:
- snížit počitadlo TTL:
policy-map global_policy
class class-default
setconnection decrement-ttl
- Make ASA reagovat na traceroute andallow ICMP přes firewall:
SH run / i icmp >>>>zkontrolujte, zda je již nakonfigurován.
icmp povolte jakoukoli echo-odpověď mimo
icmp povolte jakoukoli časově překročenou vnější stranu
icmp povolte jakoukoli nedostupnou vnější stranu
- udělejte to, pokud potřebujete spustit traceroute frominside:
icmp povolit jakékoliv echo-replyINSIDE_INTERFACE >>>> vložte zde rozhraní, kterépotřebujete.
icmp povolit jakýkoli časově překročený inside_interface
icmp povolit jakýkoli nedosažitelný inside_interface
- snížit limit rychlosti, takže se nedostanete * 1ms *:
SH run / I unreachable >>>vezměte na vědomí předchozí hodnotu, příklad: „icmp unreachable rate-limit 1burst-size 1“
icmp unreachable rate-limit 10burst-size 5
- ACL dle vašich potřeb:
- pro Windows / MTR / ping stačí povolit:
access-list outside_in extendedpermit icmp jakýkoli >>> upravte podle svých potřeb.
access-list inside_in extended permiticmp any any >>> pokud není kontrola ICMP nakonfigurována, firewall nevytváří položku v tabulce připojení pro ICMP, takže musíte ICMP otevřít obousměrně.
- pro traceroute pocházející z Cisco a Unixkterý používá UDP:
access-list outside_in extendedpermit udp any any range 33434-33464
- Chcete-li povolit kontrolu ICMP, abyste pro ICMP neměli toconfigured obousměrné ACL:
SH run policy-map >>> zkontrolujte existující konfiguraci v případě, že je již nakonfigurována.
policy-map global_policy
class inspection_default
inspect icmp