穿越ASA进行traceroute或tracert测试

一.概述:

   默认情况下,ASA不会回应TTL Exceeded的包,因此traceroute/tracert看不到ASA设备;另外,由于防火墙策略限制,traceroute/tracert也无法穿越防火墙。

二.基本思路:

   根据traceroute/tracert不同处理方式,确定为什么无法穿越防火墙,从而放开相应的防火墙策略:

A.Windows主机:

   Windows主机tracert命令,发出icmp request包,从TTL=1开始,逐跳TTL加1,每跳发送三个包,中间设备回复ICMP type 11 Code 0 的TTL超时的ICMP包,目的设备回复icmp reply的包。
----如果开启icmp审查,虽然内网发出的icmp reply的包可以正常返回,但是TTL超时的ICMP包不能正常返回,需要策略放行。  

B.Linux、网络设备:

   Linux、网络设备traceroute命令,发出UDP包,第一个包目的端口为33434,从TTL=1开始,每个TTL会发三个包,逐跳TTL加1,UDP目的端口每个包会加1,中间设备回复ICMP type 11的TTL超时的ICMP包,目的设备回复ICMP type 3 Code 3的端口不可达的ICMP包 。

----Linux、网络设备traceroute默认支持30跳,每跳发三个UDP包,所以UDP目的端口为33434~33434+30*3-1,即33434~33523

----如果从防火墙的高安全区到低安全区进行traceroute,则需要放行TTL超时的ICMP包和端口不可达的ICMP包

----如果从防火墙的低安全区高安全区进行traceroute,则只需要放行起始的UDP包,目标端口从33434~33523

三.防火墙策略设置:

A.从高安全区到低安全区

---比如从Inside到Outside

①ASA设备回复TTL超时
class-map ALL_IP
match any
policy-map global_policy
class ALL_IP
set connection decrement-ttl

②全局开启ICMP审查

policy-map global_policy
class inspection_default

 inspect icmp
 inspect icmp error   //*这个还不明白到底是什么作用,针对什么情况

③防火墙策略:

access-list outside_access_in remark ICMP type 11 for Windows Traceroute
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in remark ICMP type 3 for Cisco and Linux
access-list outside_access_in extended permit icmp any any unreachable
access-group outside_access_in in interface outside

④调整icmp unreachable的速率

ciscoasa(config)#icmp unreachable rate-limit 10 burst-size 5
!--- Adjust ICMP unreachable replies:
!--- The default is rate-limit 1 burst-size 1.
!--- The default will result in timeouts for the ASA hop:

B.从低安全区高安全区

----比如从outsideinside(如果为互联网边界防火墙,不建议配置

①ASA设备回复TTL超时

同上。

②放行初始流量

1.对于windows主机放行icmp echo流量

access-list outside_access_in permit icmp any any echo

----ACL中icmp echo包,等同于icmp echo request包

2.对于linux和网络设备放行udp流量

access-list outside_access_in remark Tracert from outside

access-list outside_access_in permit udp any any range 33434 33523

access-group outside_access_in in interface outside

----因为放行了icmp echo和udp33434~33523,无法避免outside区域设备利用它们对inside区域的设备进行DOS或DDOS攻击,因此如果是互联网边界防火墙没有必要进行开放;如果为公司内部不同安全区之间的防火墙,可根据需要确定是否放行。

更多相关文章
  • traceroute和tracert的区别  二者都用于探测数据包从源到目的经过路由的IP,但两者探测的方法却有差别.不同点:一.应用环境不同tracert是应用在windows下.traceroute则是应用在linux/BSD/router/UNIX下. tracert是Windows下常用的命 ...
  • acl实现穿越ASA防火墙
    一,概述:ASA安全设备:Cisco ASA 系列5500系列自适应安全设备室最新的cisco防火墙技术产品,它提供了整合防火墙,入侵保护系统(IPS,Intrusion Prevention System).高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的VPN服务. 2.ASA的 ...
  • traceroute的原理:1.traceroute主机向被trace主机发送UDP的数据包,目的端口是编号较大的端口(比如33434端口)2.首包TTL=1,Dport=33434:以后的数据包TTL值和端口号以此加13.如何判断已经到达目的地,一般目的地不会在UDP33434这么大的端口开启什么 ...
  • ASA第一天实验
    1.1 ASA 5505 Default Configurationinterface Ethernet 0/0switchport access vlan 2no shutdowninterface Ethernet 0/1switchport access vlan 1no shutdownin ...
  • 实验环境(如下拓扑图所示):1.准备四台虚拟机,两台使用windows 2003系统,分别配置Web服务器和Out服务器,分别搭建站点www.sjzz.com 和www.out.com ,并在Out服务器上搭建DNS服务器,负责解析www.sjzz.com(IP地址:200.1.1.253/29)和 ...
  • 配置ASA实现内网、DMZ和外网的访问
    配置ASA实现内网.DMZ和外网之间的访问需求描述1.只能从PC1通过SSH访问ASA2.从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点3.从PC1可以ping通Out主机实现思路1) 在ASA上配置只允许PC1进行SSH接入2) 配置nat和global命 ...
  • 1.配置实例基于关键字“sh/run”,过滤regex shrun“sh/run”class-map type regex match-any Amatch regex shrunclass-map type inspect http match-all http Bmatch request ur ...
  • 路由与网络连通性(三)路由测试及INTERNET的连接<!--[if !supportLists]-->1.<!--[endif]-->路由测试互联网络的通信机制复杂,环境各异,因而,有可能有各种各样的问题导致网络不通.用ping命令可以测试出网络是否畅通,但在不通时,却难以 ...
一周排行
  • 批量缩放PNG图片.
    最近需要缩放N多图片, 找遍了互联网也没有找到方便使用的批量缩放工具.. 趁着周末写一个练 ...
  • 远古的化石--美丽胡杨林
    远古的化石--美丽胡杨林        胡杨(学名:Populus euphratica) ...
  • ReactJS入门三——顶层API
    本文基本跟着官方文档把API都走一遍,但会有实例来解释应该怎么用,木有比我更详细的API文 ...
  • 用 jQuery 绑定和解绑事件监听器都是非常简单的.但是当你为一个元素的一个事件绑定了多个监听器时,怎样精确地解绑其中一个监听器?我们需要了解一下事件的命名空间.看下面这段代码:$('#element') .on( ...
  • 因为办公区里的打印机是HP 5200 下面整理安装的印机的全部过程:在google里 搜索HP 5200 Linux查到的网址是:http://www.openprinting.org/printer/HP/HP-L ...
  • 查看端口 在Windows 2000/XP/Server 2003中要查看端口,可以使用Netstat命令: 依次点击"开始→运行",键入"cmd"并回车,打开命令提示符窗口. ...
  • 通过与TechNet的合作,我们部门在十二月份组织了一个信息工作者应用与管理系统Webcast,分为Office Business Applications.Enterprise Search.Microsoft O ...
  • 转载自创业帮[url]http://www.cyzone.cn/Article.aspx?AID=5627&jn=1[/url]营销谈判是在厨房里学会的作者: 赵一沣 来源: 创业邦 时间: ...
  • 自连接
     自引用 public class PictureCategory { [Database ...
  • 人的情绪可以通过面部表情和肢体语言表达出来也可以通过眼神表现出来,但眼神能够表达出来的情绪不多一般人是如此但是,不否认有另外一些人可以通过眼神表达许多心理活动如果不相信的话,可以去看看梁朝伟的几部经典电影其中的忧伤, ...