Cisco ASA Firewall-PERMIT TRACEROUTE
tämä blogi näyttää erityyppisiä komentoja, joilla ASA-palomuurit voidaan tehdä permittraceroute-liikenteen sallimiseksi ja traceroute-polun näyttämiseksi.
näin saat koko listan humalasta tracerouteen eikä vain * * *.
Asetusvaiheet ASA-palomuurissa:
- säätöön TTL-laskuri:
policy-map global_policy
class class-default
setconnection decreement-TTL
- Make the ASA to respond to traceroute andallow ICMP across the firewall:
Sh run | I icmp >>>>tarkista, onko se jo määritetty.
icmp permit any echo-reply outside
icmp permit any time-exceeded Outside
icmp permit any unreachable outside
- Do this if you need to run traceroute frominside:
icmp permit any echo-replyINSIDE_INTERFACE >>>> laita tähän tarvitsemasi käyttöliittymä.
icmp permit any time-exceededINSIDE_INTERFACE
icmp permit any unreaceableinside_interface
- to reduce the rate-limit so you don ’ tget * 1ms *:
sh run | I unreachable >>>ota huomioon edellinen arvo, esimerkiksi: ”icmp unreachable rate-limit 1burst-size 1”
icmp unreachable rate-limit 10burst-size 5
- ACLs tarpeidesi mukaan:
- Windows / MTR/ping sinun tarvitsee vain permitICMP:
access-list outside_ in extendedpermit icmp any any >>> säädä tarpeidesi mukaan.
access-list inside_in extended permiticmp any any >>> kun ICMP-tarkastusta ei ole määritetty,palomuuri ei luo merkintää ICMP: n liitäntätaulukkoon, joten sinun on avattava ICMP kaksisuuntaisesti.
- Ciscosta ja Unixista tulevalle traceroutelle, joka käyttää UDP: tä:
access-list outside_ in extendedpermit udp any any range 33434-33464
- ICMP: n tarkastuksen ottaminen käyttöön, jotta sinulla ei ole ICMP: n kaksisuuntaisia ACL: iä:
Sh suorita käytäntö-kartta >>> tarkista olemassa oleva asetus, jos se on jo määritetty.
policy-map global_policy
class inspection_default
inspect icmp