Pare–feu Cisco ASA – TRACEROUTE D’AUTORISATION
Ce blog montre le differenttype des commandes qui peuvent être utilisées pour rendre les pare-feu ASA au trafic de permittraceroute et pour s’afficher sur le chemin de traceroute.
De cette façon, vous pouvez obtenir la liste complète des houblons sur la traceroute et pas seulement ***.
Étapes de configuration pour activer la navigation sur un pare-feu ASA:
- pour décrémenter le compteur TTL:
policy-map global_policy
class class-default
setconnection decrement-ttl
- Faites l’ASA pour répondre au traceroute et autoriser l’ICMP à travers le pare-feu:
sh run / i icmp >>>> vérifiez s’il est déjà configuré.
icmp autorise toute réponse écho à l’extérieur
icmp autorise tout dépassement de temps à l’extérieur
icmp autorise tout inaccessible à l’extérieur
- Procédez ainsi si vous devez exécuter traceroute à partir de l’intérieur:
icmp permet toute interface echo-replyINSIDE_INTERFACE >>>> mettez ici l’interface dont vous avez besoin.
l’icmp autorise toute interface Inside_interface dépassée dans le temps
L’icmp autorise toute interface inside_interface irréalisable
- Pour réduire la limite de débit afin de ne pas atteindre * 1 ms *:
sh run /i inaccessible > > > prenez note de la valeur précédente, exemple: « limite de débit inaccessible icmp 1burst-size 1 »
limite de débit inaccessible icmp 10burst-size 5
- ACLs selon vos besoins:
- Pour Windows / MTR / ping, il vous suffit de permitICMP:
access-list outside_in extendedpermit icmp any any > > > ajustez selon vos besoins.
access-list inside_in permiticmp étendu any any > > > lorsque l’inspection ICMP n’est pas configurée, le pare-feu ne crée pas d’entrée sur la table de connexion pour ICMP, vous devez donc ouvrir ICMP de manière bidirectionnelle.
- Pour le traceroute provenant de Cisco et Unix qui utilise UDP:
liste d’accès outside_in extendedpermit udp n’importe quelle plage 33434-33464
- Pour activer l’inspection ICMP afin que vous n’ayez pas d’ACL bidirectionnelles configurées pour ICMP:
sh exécute policy-map > > > vérifiez la configuration existante au cas où elle serait déjà configurée.
policy-map global_policy
inspection de classe par défaut
inspection icmp