Cisco ASA Firewall-PERMIT TRACEROUTE
ten blog pokazuje differenttype poleceń, które mogą być używane do tworzenia zapór asa do permittraceroute ruchu i pokazać się na ścieżce traceroute.
w ten sposób można uzyskać pełną listę chmielu na traceroute i nie tylko * * *.
kroki konfiguracji, aby włączyć traceroute na zaporze Asa:
- aby zmniejszyć licznik TTL:
Polityka-Mapa global_polityka
klasa klasa-domyślna
dekrementacja setconnection-ttl
- Stwórz ASA, aby reagował na traceroute i zezwalał na ICMP przez firewall:
sh run / i icmp >>>>sprawdź, czy jest już skonfigurowany.
ICMP zezwala na dowolne echo-odpowiedz na zewnątrz
ICMP zezwala na dowolne echo-odpowiedz na zewnątrz
ICMP zezwala na dowolne nieosiągalne na zewnątrz
- zrób to, jeśli chcesz uruchomić traceroute z zewnątrz:
ICMP zezwala na dowolne echo-replyINSIDE_INTERFACE >>>> umieść tutaj interfejs, którego potrzebujesz.
ICMP zezwala na dowolną nieosiągalną inside_interface
ICMP zezwala na dowolną nieosiągalną inside_interface
- , aby zmniejszyć limit szybkości, aby nie otrzymać * 1ms *:
SH run / i unreachable > >> zwróć uwagę na poprzednią wartość, przykład: „icmp unreachable rate-limit 1burst-size 1”
icmp unreachable rate-limit 10burst-size 5
- ACLs zgodnie z Twoimi potrzebami:
- Dla Windows / MTR / ping wystarczy permitICMP:
access-list outside_in extendedpermit icmp any any > >> dostosuj do swoich potrzeb.
access-list inside_in extended permiticmp any any>> > gdy inspekcja ICMP nie jest skonfigurowana,firewall nie tworzy wpisu w tabeli połączeń dla ICMP, więc musisz otworzyć ICMP dwukierunkowo.
- dla traceroute pochodzących od Cisco i UNIXwhich używa UDP:
access-list outside_in extendedpermit udp any any range 33434-33464
- aby włączyć inspekcję ICMP, aby nie trzeba było skonfigurować dwukierunkowych ACL dla ICMP:
SH run policy-map > >> sprawdź istniejącą konfigurację, jeśli jest już skonfigurowana.
policy-map global_policy
class inspection_default
inspect icmp