Cisco ASA Firewall-tillstånd TRACEROUTE
den här bloggen visar differenttype av kommandon som kan användas för att göra ASA brandväggar till permittraceroute trafik och att visa upp på traceroute sökvägen.
på detta sätt kan du få hela listan över humle på traceroute och inte bara * * *.
konfigurationssteg för att aktivera traceroute på en Asa-brandvägg:
- för att minska TTL-räknaren:
policy-map global_policy
klass klass-standard
setconnection decrement-ttl
- gör ASA att svara på traceroute andallow ICMP över brandväggen:
sh run / i icmp >>>>kontrollera om den redan är konfigurerad.
icmp tillåter alla eko-svar utanför
icmp tillåter helst-overceededoutside
icmp tillåter alla oåtkomliga utanför
- gör detta om du behöver köra traceroute frominside:
icmp tillåter alla echo-replyINSIDE_INTERFACE >>>> sätt här gränssnittet somdu behöver.
icmp tillåter när som helst-overceededinside_interface
icmp tillåter alla unreachableINSIDE_INTERFACE
- för att minska hastighetsgränsen så att du inte får * 1ms *:
sh run / i unreachable >>> notera det tidigare värdet, exempel: ”icmp unreachable rate-limit 1burst-size 1”
icmp unreachable rate-limit 10burst-size 5
- ACLs enligt dina behov:
- för Windows / MTR / ping behöver du bara permitICMP:
access-list outside_in extendedpermit icmp någon någon > >> justera efter dina behov.
access-list inside_in extended permiticmp any any >>> när ICMP-inspektion inte är konfigurerad skapar brandväggen inte en post i anslutningstabellen för ICMP,så du måste öppna ICMP dubbelriktat.
- för traceroute kommer från Cisco och Unixsom använder UDP:
access-list outside_in extendedpermit UDP någon något intervall 33434-33464
- för att aktivera ICMP inspektion så att du inte behöver toconfigured dubbelriktad ACL för ICMP:
sh run policy-map >>> kontrolleraden befintliga konfigurationen om den redan är konfigurerad.
policy-karta global_policy
klassinspektion_default
inspektera icmp