Cisco ASA Firewall-PERMIT TRACEROUTE
deze blog toont verschillende soorten commando ‘ s die kunnen worden gebruikt om de ASA firewalls te maken om traceroute verkeer toe te staan en op het traceroute pad te verschijnen.
op deze manier kunt u de volledige lijst van hop op de traceroute krijgen en niet alleen * * *.
configuratiestappen voor enabletraceroute op een ASA Firewall:
- TTL teller verwijderen:
policy-map global_policy
class class-default
setconnection decrement-ttl
- laat de ASA reageren op traceroute en laat ICMP over de firewall toe:
sh run / i icmp >>>>controleer of het al geconfigureerd is.
icmp permit any echo-reply outside
icmp permit any time-exceeded Outside
icmp permit any unreachable outside
- doe dit als u traceroute from side moet uitvoeren:
icmp staat elke echo-replyINSIDE_INTERFACE toe >>>> zet hier de interface die je nodig hebt.
icmp permit any time-exceededINSIDE_INTERFACE
icmp permit any unreacheableinside_interface
- om de tarieflimiet te verlagen zodat u niet * 1ms krijgt *:
sh run / i unreachable >> > let op de vorige waarde, voorbeeld: “icmp unreachable rate-limit 1burst-size 1”
icmp unreachable rate-limit 10burst-size 5
- ACLs volgens uw behoeften:
- Voor Windows / MTR / ping hoeft u alleen maar permitICMP te gebruiken:
access-list outside_in extendedpermit icmp any >> > aanpassen aan uw behoeften.
access-list inside_in extended permiticmp any >>> wanneer ICMP inspectie niet is geconfigureerd, maakt de firewall geen ingang aan op de verbindingstabel voor ICMP, dus moet u ICMP bidirectioneel openen.
- voor de traceroute afkomstig van Cisco en Unix die UDP gebruikt:
access-list outside_in extendedpermit udp eender welk bereik 33434-33464
- ICMP-inspectie inschakelen zodat u geen bidirectionele ACL ‘ s voor ICMP hebt geconfigureerd:
sh voer policy-map >> > controleer de bestaande configuratie voor het geval het al geconfigureerd is.
policy-map global_policy
class inspection_default
inspecteren icmp