Cisco ASA Firewall – PERMIT TRACEROUTE
Dieser Blog zeigt differenttype von Befehlen, die verwendet werden können, um die ASA-Firewalls zu permittraceroute Verkehr zu machen und auf dem traceroute Pfad zu zeigen.
Auf diese Weise erhalten Sie die vollständige Liste der Hops auf der Traceroute und nicht nur * * *.
Konfigurationsschritte zum Aktivieren von raceroute auf einer ASA-Firewall:
- zu dekrementieren TTL zähler:
policy-map global_policy
class class-default
setconnection decrement-ttl
- Stellen Sie die ASA so ein, dass sie auf traceroute reagiert und ICMP über die Firewall sendet:
sh run / i icmp >>>> überprüfen Sie, ob es bereits konfiguriert ist.
icmp erlauben jede echo-antwort außerhalb
icmp erlauben jede zeit-exceededoutside
icmp erlauben jede unerreichbare außerhalb
- Tun dies, wenn sie müssen laufen traceroute frominside:
icmp erlaube jedes Echo-replyINSIDE_INTERFACE >>>> setzen Sie hier die Schnittstelle, dieSie brauchen.
icmp erlauben jede zeit-exceededINSIDE_INTERFACE
icmp erlauben jede unreachableINSIDE_INTERFACE
- Zu reduzieren die rate-grenze so sie don’tget * 1 ms *:
sh run / i unerreichbar >>>Beachten Sie den vorherigen Wert, Beispiel: „icmp unerreichbare Rate-limit 1burst-size 1“
icmp unerreichbare Rate-limit 10burst-size 5
- ACLs nach Ihren Bedürfnissen:
- Für Windows / MTR/ ping müssen Sie nur permitICMP:
access-list outside_in extendedpermit icmp any any >>> nach Ihren Bedürfnissen anpassen.
access-list inside_in extended permiticmp any any >>> Wenn ICMP inspection nicht konfiguriert ist, erstellt die Firewall keinen Eintrag in der Verbindungstabelle für ICMP.
- Für die Traceroute von Cisco und Unix, die UDP verwendet:
Zugriffsliste outside_in extendedpermit udp beliebig beliebiger Bereich 33434-33464
- So aktivieren Sie die ICMP-Inspektion, damit Sie keine bidirektionalen ACLs für ICMP konfigurieren müssen:
sh run policy-map >>> Überprüfen Sie die vorhandene Konfiguration, falls sie bereits konfiguriert ist.
policy-map global_policy
Klasse inspection_default
icmp prüfen