Cisco ASA Firewall-engedély TRACEROUTE
ez a blog azt mutatja, differtype parancsok, hogy lehet használni, hogy az ASA tűzfalak a permittraceroute forgalmat, és megjelenik a traceroute útvonal.
ily módon megkaphatja a komló teljes listáját a traceroute-on, nem csak * * *.
konfigurációs lépések az ASA tűzfal engedélyezéséhez:
- a TTL számláló csökkentése:
policy-map global_policy
class class-default
setconnection decrement-ttl
- adja meg az ASA-t, hogy válaszoljon a traceroute-ra és engedélyezze az ICMP-t a tűzfalon keresztül:
sh run / i icmp >>>>ellenőrizze, hogy már konfigurálva van-e.
icmp engedélyez bármilyen echo-válasz kívül
icmp engedélyez bármikor-exceeded outside
icmp engedélyez bármilyen elérhetetlen kívül
- tegye ezt, ha futtatnia kell traceroute frominside:
icmp engedély minden echo-replyINSIDE_INTERFACE >>>> tegye ide a felületetszüksége van.
icmp engedély bármikor-exceededINSIDE_INTERFACE
icmp engedély minden elérhetetleninside_interface
- hogy csökkentse a sebesség-limit, így nem kap * 1ms*:
sh run / i unreachable >>>vegye figyelembe az előző értéket, például: “icmp unreachable rate-limit 1burst-size 1”
icmp unreachable rate-limit 10burst-size 5
- ACLs az Ön igényei szerint:
- A Windows / MTR / ping csak meg kell permitICMP:
access-list outside_in extendedpermit icmp bármely bármely > >> állítsa be az Ön igényeinek megfelelően.
access-list inside_in extended permiticmp any bármely > > > ha az ICMP ellenőrzés nincs konfigurálva,a tűzfal nem hoz létre bejegyzést az ICMP csatlakozási táblájában, ezért kétirányban kell megnyitnia az ICMP-t.
- a traceroute érkező Cisco és UNIXwhich használ UDP:
access-list outside_in extendedpermit udp bármely bármely tartományban 33434-33464
- ahhoz, hogy az ICMP ellenőrzés, így nem kell toconfigured kétirányú ACL ICMP:
SH run policy-map >>> ellenőrizze a meglévő konfigurációt, ha már konfigurálva van.
policy-map global_policy
class inspection_default
ICMP ellenőrzése