穿越ASA进行traceroute或tracert测试

一.概述:

   默认情况下,ASA不会回应TTL Exceeded的包,因此traceroute/tracert看不到ASA设备;另外,由于防火墙策略限制,traceroute/tracert也无法穿越防火墙。

二.基本思路:

   根据traceroute/tracert不同处理方式,确定为什么无法穿越防火墙,从而放开相应的防火墙策略:

A.Windows主机:

   Windows主机tracert命令,发出icmp request包,从TTL=1开始,逐跳TTL加1,每跳发送三个包,中间设备回复ICMP type 11 Code 0 的TTL超时的ICMP包,目的设备回复icmp reply的包。
----如果开启icmp审查,虽然内网发出的icmp reply的包可以正常返回,但是TTL超时的ICMP包不能正常返回,需要策略放行。  

B.Linux、网络设备:

   Linux、网络设备traceroute命令,发出UDP包,第一个包目的端口为33434,从TTL=1开始,每个TTL会发三个包,逐跳TTL加1,UDP目的端口每个包会加1,中间设备回复ICMP type 11的TTL超时的ICMP包,目的设备回复ICMP type 3 Code 3的端口不可达的ICMP包 。

----Linux、网络设备traceroute默认支持30跳,每跳发三个UDP包,所以UDP目的端口为33434~33434+30*3-1,即33434~33523

----如果从防火墙的高安全区到低安全区进行traceroute,则需要放行TTL超时的ICMP包和端口不可达的ICMP包

----如果从防火墙的低安全区高安全区进行traceroute,则只需要放行起始的UDP包,目标端口从33434~33523

三.防火墙策略设置:

A.从高安全区到低安全区

---比如从Inside到Outside

①ASA设备回复TTL超时
class-map ALL_IP
match any
policy-map global_policy
class ALL_IP
set connection decrement-ttl

②全局开启ICMP审查

policy-map global_policy
class inspection_default

 inspect icmp
 inspect icmp error   //*这个还不明白到底是什么作用,针对什么情况

③防火墙策略:

access-list outside_access_in remark ICMP type 11 for Windows Traceroute
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in remark ICMP type 3 for Cisco and Linux
access-list outside_access_in extended permit icmp any any unreachable
access-group outside_access_in in interface outside

④调整icmp unreachable的速率

ciscoasa(config)#icmp unreachable rate-limit 10 burst-size 5
!--- Adjust ICMP unreachable replies:
!--- The default is rate-limit 1 burst-size 1.
!--- The default will result in timeouts for the ASA hop:

B.从低安全区高安全区

----比如从outsideinside(如果为互联网边界防火墙,不建议配置

①ASA设备回复TTL超时

同上。

②放行初始流量

1.对于windows主机放行icmp echo流量

access-list outside_access_in permit icmp any any echo

----ACL中icmp echo包,等同于icmp echo request包

2.对于linux和网络设备放行udp流量

access-list outside_access_in remark Tracert from outside

access-list outside_access_in permit udp any any range 33434 33523

access-group outside_access_in in interface outside

----因为放行了icmp echo和udp33434~33523,无法避免outside区域设备利用它们对inside区域的设备进行DOS或DDOS攻击,因此如果是互联网边界防火墙没有必要进行开放;如果为公司内部不同安全区之间的防火墙,可根据需要确定是否放行。

更多相关文章
  • traceroute和tracert的区别  二者都用于探测数据包从源到目的经过路由的IP,但两者探测的方法却有差别.不同点:一.应用环境不同tracert是应用在windows下.traceroute则是应用在linux/BSD/router/UNIX下. tracert是Windows下常用的命 ...
  • acl实现穿越ASA防火墙
    一,概述:ASA安全设备:Cisco ASA 系列5500系列自适应安全设备室最新的cisco防火墙技术产品,它提供了整合防火墙,入侵保护系统(IPS,Intrusion Prevention System).高级自适应威胁防御服务,其中包括应用安全和简化网络安全解决方案的VPN服务. 2.ASA的 ...
  • traceroute的原理:1.traceroute主机向被trace主机发送UDP的数据包,目的端口是编号较大的端口(比如33434端口)2.首包TTL=1,Dport=33434:以后的数据包TTL值和端口号以此加13.如何判断已经到达目的地,一般目的地不会在UDP33434这么大的端口开启什么 ...
  • ASA第一天实验
    1.1 ASA 5505 Default Configurationinterface Ethernet 0/0switchport access vlan 2no shutdowninterface Ethernet 0/1switchport access vlan 1no shutdownin ...
  • 实验环境(如下拓扑图所示):1.准备四台虚拟机,两台使用windows 2003系统,分别配置Web服务器和Out服务器,分别搭建站点www.sjzz.com 和www.out.com ,并在Out服务器上搭建DNS服务器,负责解析www.sjzz.com(IP地址:200.1.1.253/29)和 ...
  • 配置ASA实现内网、DMZ和外网的访问
    配置ASA实现内网.DMZ和外网之间的访问需求描述1.只能从PC1通过SSH访问ASA2.从PC1可以访问outside和dmz区的网站,从Out主机可以访问DMZ区的Web站点3.从PC1可以ping通Out主机实现思路1) 在ASA上配置只允许PC1进行SSH接入2) 配置nat和global命 ...
  • 1.配置实例基于关键字“sh/run”,过滤regex shrun“sh/run”class-map type regex match-any Amatch regex shrunclass-map type inspect http match-all http Bmatch request ur ...
  • 路由与网络连通性(三)路由测试及INTERNET的连接<!--[if !supportLists]-->1.<!--[endif]-->路由测试互联网络的通信机制复杂,环境各异,因而,有可能有各种各样的问题导致网络不通.用ping命令可以测试出网络是否畅通,但在不通时,却难以 ...
一周排行
  • 在VMware中为Linux系统安装VM-Tools的详解教程
    在VMware中为Linux系统安装VM-Tools的详解教程如果大家打算在VMware虚 ...
  • (今天是周一,祝大家一周快乐!)    如果我问你:今天你为什么去上班?恐怕最多的一个答案是:挣钱啊.如果我再问:除了挣钱呢?不知道您会给我什么样的答案,反正这个问题,我曾经问过自己无数次.    也有不问的时候.一 ...
  • 0 东方云洞察点击上面的链接文字,可以快速关注"东方云洞察"公众号亚马逊网络服务的不断蚕食企业存储市场,AWS最新计划发布一个新服务替代网络附加存储(NAS)设备.亚马逊弹性文件 ...
  • 文件服务器于客户/服务器数据库之间有一个重要差别.从根本上说,这两个术语指数据处理的两种不同方式. 在文件服务器数据库中,数据存放在文件之中,数据的各个用户直接从文件中取得他们所需的东西.当有修改发生时,应用程序打开 ...
  • 一.封装:把实现一个功能的代码放在一个函数中封装起来,以后再想实现这个功能的时候,我们不需要重新的编写代码了,只需要执行对应的函数即可,我们把这种机制就称之为"函数的封装" -->低耦合高内 ...
  • Pureftp服务器的配置与应用
    Pure-FTPd 是一款免费(BSD)的,安全的,高质量和符合标准的FTP服务器. 侧重 ...
  • 时区计算方法大全一.传统方法的缺陷教材中通过校准宾馆大堂时钟的探究,使学生掌握区时的计算方法.其具体方法是:1. 先确定当地的时区和区时:2. 找出另一个城市所在的时区:3. 数出两个城市之间的时区差:4. 根据东早 ...
  •       coder和hacker虽然都是写程序的人,但他们在本质上有很大的不同:       我们都知道code的翻译是代码,顾名思义,coder可以说是写代码的人,它在工程师的等级划分中可以说是最底层的.cod ...
  •  
  • 14岁那年,印度电脑天才苏哈斯·戈皮纳思就创办了一家软件公司.从那以来,他已经成为印度兴旺发达的IT业中最为成功的标志性人物之一. 现年21岁的他运转着一家跨国 ...                         ...