Cisco ASA Firewall-permitir TRACEROUTE
este blog mostra differenttype de comandos que podem ser usados para fazer os firewalls ASA para tráfego permittraceroute e para mostrar-se no caminho traceroute.
desta forma, você pode obter a lista completa de saltos no traceroute e não apenas * * *.
etapas de configuração para ativar o rastreamento em um Firewall ASA:
- para diminuir o contador TTL:
política-mapa global_policy
classe-padrão
setconnection diminuir-ttl
- Fazer o ASA para responder ao traceroute andallow ICMP através do firewall:
sh executar | i icmp >>>>verifique se ele já está configurado.
ICMP permitir qualquer eco-resposta fora
icmp permitir a qualquer momento-exceededoutside
icmp permitir qualquer fora inacessível
- faça isso se você precisar executar traceroute frominside:
icmp permitir qualquer eco-replyINSIDE_INTERFACE >>>> coloque aqui a interface quevocê precisa.
icmp permite que qualquer tempo exceededINSIDE_INTERFACE
icmp permite que qualquer unreachableINSIDE_INTERFACE
- Para reduzir a velocidade-limite, de modo que você não’tget * 1ms *:
sh executar | i inacessível >>>tome nota do valor anterior, exemplo: “icmp de inalcançável taxa-limite 1burst-tamanho 1”
icmp de inalcançável taxa-limite 10burst tamanho 5
- ACLs de acordo com suas necessidades:
- Para Windows/MTR/ping, você só precisa permitICMP:
lista de acesso outside_in extendedpermit icmp qualquer >>> ajustar de acordo com suas necessidades.
access-list inside_in extended permiticmp any > >> quando a inspeção ICMP não está configurada,o firewall não cria uma entrada na tabela de conexão para ICMP, então vocêprecisa abrir o ICMP bidirectionally.
- para o traceroute vindo de Cisco e UNIXwhich usa UDP:
lista de acesso outside_in extendedpermit udp qualquer intervalo 33434-33464
- Para habilitar ICMP de inspeção para que você não tenha toconfigured bidirecional ACLs para ICMP:
sh executar a política-mapa >>> checkthe existente config, no caso ele já está configurado.
policy-map global_policy
class inspection_default
inspect icmp