Firewall Cisco ASA-PERMITIR TRACEROUTE

Firewall Cisco ASA-PERMITIR TRACEROUTE

Este blog muestra diferentes tipos de comandos que se pueden usar para hacer que los firewalls ASA permitan el tráfico de traceroute y se muestren en la ruta de traceroute.

De esta manera, puede obtener la lista completa de lúpulos en el trazador y no solo * * *.

Pasos de configuración para habilitar la ruta de acceso en un firewall ASA:

  1. para disminuir el contador TTL:

mapa de políticas global_policy

clase clase-predeterminada

decremento de setconnection-ttl

  • Hacer que el ASA responda a traceroute y permita ICMP a través del firewall:

sh run / i icmp >>>>comprueba si ya está configurado.

icmp permite cualquier respuesta de eco fuera

icmp permite cualquier tiempo excedido fuera

icmp permite cualquier fuera inalcanzable

  • Haga esto si necesita ejecutar traceroute de minside:

icmp permite cualquier respuesta de eco en la interfaz interna >>>> pon aquí la interfaz que necesitas.

icmp permite cualquier tiempo excedido en la interfaz interna

icmp permite cualquier interfaz interna no accesible

  • Para reducir el límite de velocidad para que no obtenga * 1 ms *:

sh run / i inalcanzable > > > tome nota del valor anterior, por ejemplo: «icmp unreachable rate-limit 1burst-size 1»

icmp unreachable rate-limit 10burst-size 5

  • ACLs según sus necesidades:
  • Para Windows / MTR / ping, solo necesita permitir MP:

lista de acceso outside_in extendedpermit icmp any any > > > ajuste de acuerdo a sus necesidades.

access-list inside_in extended permiticmp any any >>> cuando la inspección ICMP no está configurada,el firewall no crea una entrada en la tabla de conexiones para ICMP, por lo que debe abrir ICMP bidireccional.

  • Para el trazador procedente de Cisco y Unix que utiliza UDP:

lista de acceso outside_in extendedpermit udp cualquier cualquier rango 33434-33464

  • Para habilitar la inspección ICMP de modo que no tenga ACLs bidireccionales configuradas para ICMP:

sh run policy-map > > > compruebe la configuración existente en caso de que ya esté configurada.

mapa de políticas global_policy

class inspection_default

inspeccionar icmp

Leave a Reply

Tu dirección de correo electrónico no será publicada.