Cisco ASA-Tillad TRACEROUTE
denne blog viser forskelligetype kommandoer, der kan bruges til at gøre ASA-brandvæggene til at tillade traceroute-trafik og til at dukke op på traceroute-stien.
på denne måde kan du få den fulde liste over humle på traceroute og ikke kun * * *.
konfiguration trin til aktiveretraceroute på en Asa Brandvæg:
- at formindske TTL-tæller:
politik-kort global_politik
klasse klasse-standard
setconnection decrement-ttl
- lav ASA til at reagere på traceroute ogtillad ICMP på tværs af brandvæggen:
sh run / i icmp >>>>kontroller, om den allerede er konfigureret.
icmp Tillad ethvert ekko-svar udenfor
icmp Tillad enhver tid-overskridetudenfor
icmp Tillad enhver utilgængelig udenfor
- gør dette, hvis du har brug for at køre traceroute frainde:
icmp tillader enhver echo-replyINSIDE_INTERFACE >>>> sæt her grænsefladen somdu har brug for.
icmp tillader enhver tid-overskridetinside_interface
icmp tillader enhver ulæseliginside_interface
- for at reducere satsgrænsen, så du ikke får * 1ms *:
SH run / i unreachable > > > vær opmærksom på den forrige værdi, eksempel: “icmp unreachable rate-limit 1burst-Størrelse 1”
icmp unreachable rate-limit 10burst-Størrelse 5
- ACLs efter dine behov:
- for vinduer / MTR / ping skal du bare permitICMP:
access-list outside_in udvidet tilladelse icmp enhver > > > juster efter dine behov.
access-list inside_in udvidet permiticmp enhver >> > når ICMP-inspektion ikke er konfigureret,opretter brandvæggen ikke en post i forbindelsestabellen for ICMP, så du skal åbne ICMP tovejs.
- til traceroute kommer fra Cisco og Uniksom bruger UDP:
adgang-liste udenfor_i udvidetpermit UDP enhver hvilken som helst rækkevidde 33434-33464
- for at aktivere ICMP-inspektion, så du ikke behøver at konfigurere tovejs ACL ‘ ER til ICMP:
SH Kør politik-kort >> > Kontroller den eksisterende konfiguration, hvis den allerede er konfigureret.
politik-kort global_politik
klasseinspektion_default
Undersøg icmp