Cisco ASA Firewall-PERMIT TRACEROUTE
denne bloggen viser differenttype kommandoer som kan brukes til Å gjøre ASA brannmurer til permittraceroute trafikk og til å dukke opp på traceroute banen.
På denne måten kan du få hele listen over humle på traceroute og ikke bare * * *.
Konfigurasjonstrinn for å aktivere enraceroute på EN ASA-Brannmur:
- å redusere TTL teller:
policy-kart global_policy
klasse klasse-standard
setconnection decrement-ttl
- Gjør ASA til å svare på traceroute andallow ICMP over brannmuren:
sh run / i icmp >>>>sjekk om den allerede er konfigurert.
icmp tillate noen ekko-svar utenfor
icmp tillate noen tid-overskridtoutside
icmp tillate noen unreachable utenfor
- Gjør dette Hvis du trenger å kjøre traceroute frominside:
icmp tillate noen ekko-replyINSIDE_INTERFACE >>>> sett her grensesnittet somdu trenger.
icmp tillater når som helst-overskredinside_interface
icmp tillater ikke uoppnåeliginside_interface
- for å redusere hastighetsgrensen slik at du ikke får * 1ms *:
sh run | i unreachable >>>legg merke til forrige verdi, eksempel: «icmp unreachable rate-limit 1burst-size 1»
icmp unreachable rate-limit 10burst-size 5
- ACLs etter dine behov:
- For Windows / MTR/ping trenger du bare å permitICMP:
access-list outside_in extendedpermit icmp noen noen > >> juster etter dine behov.
access-list inside_in extended permiticmp any any > >> når ICMP-inspeksjon ikke er konfigurert,oppretter ikke brannmuren en oppføring i tilkoblingstabellen FOR ICMP, så du må åpne ICMP toveis.
- for traceroute som kommer fra Cisco Og Unixsom bruker UDP:
tilgang-liste utenfor_in extendedpermit udp noen noen rekkevidde 33434-33464
- for Å aktivere ICMP inspeksjon slik at du ikke trenger åkonfigurerte toveis Acl FOR ICMP:
sh kjør policy-kart > >> sjekk den eksisterende konfigurasjonen hvis den allerede er konfigurert.
policy-kart global_policy
klasseinspeksjon_default
inspiser icmp