Cisco ASA Firewall-permis TRACEROUTE
acest blog prezinta differenttype de comenzi care pot fi folosite pentru a face firewall-uri ASA pentru a permite traficul traceroute și să apară pe calea traceroute.
în acest fel puteți obține lista completă a hameiului pe traceroute și nu doar * * *.
pași de configurare pentru a enabletraceroute pe un Firewall ASA:
- pentru a scădea contorul TTL:
policy-map global_policy
class class-default
setconnection decrement-ttl
- asigurați-ASA pentru a răspunde la traceroute andallow ICMP peste firewall:
SH run / I icmp >>>>verificați dacă este deja configurat.
permis icmp orice răspuns ecou în afara
permis icmp în orice moment depășit în afara
permis icmp orice inaccesibil în afara
- faceți acest lucru dacă trebuie să rulați traceroute frominside:
ICMP permite orice ecou-replyINSIDE_INTERFACE >>>> puneți aici interfața de careaveți nevoie.
ICMP permite orice depășire de timpinside_interface
ICMP permite orice unreachableINSIDE_INTERFACE
- pentru a reduce rata-limită, astfel încât să don ‘tget * 1ms *:
SH run / I inaccesibil > > > luați notă de valoarea anterioară, de exemplu:” rata de neatins icmp-limită 1burst-Dimensiune 1 ”
rata de neatins icmp-limită 10burst-Dimensiune 5
- ACL-uri în funcție de nevoile tale:
- Pentru Windows / MTR / ping trebuie doar să permitICMP:
acces-list outside_in extendedpermit icmp orice orice > >> ajustați în funcție de nevoile dvs.
access-list inside_in extended permiticmp any any>> > când inspecția ICMP nu este configurată,firewall-ul nu creează o intrare în tabelul de conexiuni pentru ICMP, deci trebuie să deschideți ICMP bidirecțional.
- pentru traceroute provenind de la Cisco și Unixcare utilizează UDP:
acces-list outside_in extendedpermit udp orice orice interval 33434-33464
- pentru a activa inspecția ICMP, astfel încât să nu trebuieconfigurate ACL-uri bidirecționale pentru ICMP:
SH run policy-map >>> verificați configurația existentă în cazul în care este deja configurată.
policy-map global_policy
class inspection_default
inspectați icmp