Cisco ASA Firewall–PERMIT TRACEROUTE
このブログでは、ASAファイアウォールをpermittracerouteトラフィックにし、tracerouteパスに表示するために使用できるコマンドの異なるタイプを示
このようにして、***だけでなく、traceroute上のホップの完全なリストを取得することができます。
ASAファイアウォールでenabletracerouteを有効にするための設定手順:
- TTLカウンタをデクリメントするには:
policy-map global_policy
class class-default
setconnection decrement-ttl
- ASAがtracerouteに応答し、ファイアウォールを介してICMPを許可するようにします:
shラン/i icmp>>>>すでに設定されているかどうかを確認します。
icmp permit any echo-reply outside
icmp permit any time-exceeded outside
icmp permit any unreachable outside
- traceroute frominsideを実行する必要がある場合は、これを行います:
icmpは任意のecho-replyinside_interfaceを許可します>>>> ここにあなたが必要とするインターフェイスを入れてください。
icmpは任意の時間を許可します-exceededinside_interface
icmpは任意のunreachableinside_interface
- レート制限を減らすために、*1msを取得しないようにします*:
sh run/i unreachable>>>前の値の例をメモしておきます。”icmp unreachable rate-limit1burst-size1″
icmp unreachable rate-limit10burst-size5
- 必要に応じたAcl:
- Windows/MTR/pingの場合は、permitICMPする必要があります:
access-list outside_in extendedpermit icmp any any>>>ニーズに応じて調整します。
access-list inside_in extended permiticmp any any>>>ICMPインスペクションが設定されていない場合、ファイアウォールはICMPの接続テーブルにエントリを作成しないため、ICMPを双方向に開UDPを使用するCiscoおよびUnixからのtracerouteのための
- :
アクセスリストoutside_in extendedpermit udp任意の任意の範囲33434-33464
- ICMP検査を有効にして、ICMP用の双方向Aclを構成しないようにするには、次の手順を実行します。:
sh run policy-map>>>すでに設定されている場合は、既存の設定を確認します。
ポリシーマップglobal_policy
クラスinspection_default
icmpを検査