穿越ASA进行traceroute或tracert测试

最新推荐文章于 2021-03-06 09:49:00 发布
最新推荐文章于 2021-03-06 09:49:00 发布
阅读量3.8k 收藏 2
点赞数 1
分类专栏: Cisco 文章标签: Cisco ASA traceroute
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u014075470/article/details/80118938
版权
一.概述:
   默认情况下,ASA不会回应TTL Exceeded的包,因此traceroute/tracert看不到ASA设备;另外,由于 防火墙 策略限制,traceroute/tracert也无法穿越 防火墙
二.基本思路:
   根据traceroute/tracert不同处理方式,确定为什么无法穿越防火墙,从而放开相应的防火墙策略:
A.Windows主机:
   Windows主机tracert命令,发出icmp request包,从TTL=1开始,逐跳TTL加1,每跳发送三个包,中间设备回复ICMP type 11 Code 0 的TTL超时的ICMP包,目的设备回复icmp reply的包。
----如果开启icmp审查,虽然内网发出的icmp reply的包可以正常返回,但是TTL超时的ICMP包不能正常返回,需要策略放行。  
B.Linux、网络设备:
   Linux、网络设备traceroute命令,发出UDP包,第一个包目的端口为33434,从TTL=1开始,每个TTL会发三个包,逐跳TTL加1,UDP目的端口每个包会加1,中间设备回复ICMP type 11的TTL超时的ICMP包,目的设备回复ICMP type 3 Code 3的端口不可达的ICMP包 。
----Linux、网络设备traceroute默认支持30跳,每跳发三个UDP包,所以UDP目的端口为33434~33434+30*3-1,即33434~33523
----如果从防火墙的高 安全 区到低 安全 区进行traceroute,则需要放行TTL超时的ICMP包和端口不可达的ICMP包 
----如果从防火墙的 低安全区 高安全区 进行traceroute,则只需要放行起始的UDP包,目标端口从33434~33523
三.防火墙策略设置:
A.从高安全区到低安全区
---比如从Inside到Outside
①ASA设备回复TTL超时
class-map ALL_IP
match any 
policy-map global_policy
class ALL_IP
set connection decrement-ttl
②全局开启ICMP审查
policy-map global_policy
class inspection_default
 inspect icmp 
 inspect icmp error   //*这个还不明白到底是什么作用,针对什么情况
③防火墙策略:
access-list outside_access_in remark ICMP type 11 for Windows Traceroute
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in remark ICMP type 3 for Cisco and Linux
access-list outside_access_in extended permit icmp any any unreachable
access-group outside_access_in in interface outside
④调整icmp unreachable的速率

ciscoasa(config)# icmp unreachable rate-limit 10 burst-size 5

!--- Adjust ICMP unreachable replies:

!--- The default is rate-limit 1 burst-size 1.

!--- The default will result in timeouts for the ASA hop:
B.从低安全区高安全区
----比如从outsideinside(如果为互联网边界防火墙,不建议配置
①ASA设备回复TTL超时
同上。
②放行初始流量
1.对于windows主机放行icmp echo流量
access-list outside_access_in permit icmp any any echo
----ACL中icmp echo包,等同于icmp echo request包
2.对于linux和网络设备放行udp流量
access-list outside_access_in remark Tracert from outside
access-list outside_access_in permit udp any any range 33434 33523
access-group outside_access_in in interface outside
----因为放行了icmp echo和udp33434~33523,无法避免outside区域设备利用它们对inside区域的设备进行DOS或DDOS攻击,因此如果是互联网边界防火墙没有必要进行开放;如果为公司内部不同安全区之间的防火墙,可根据需要确定是否放行。
WilliamL710i
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASATraceroute报文的处理问题
weixin_34293059的博客
08-18 278
技术领域ASA 5500 Series, ICMP, Traceroute问题描述ASA丢弃某些LINUX主机的traceroute报文。ASA对于Traceroute报文的处理机制Traceroute报文工作机制分为两种:基于UDP端口以及基于ICMP。 基于UDP端口的traceroute需要在ACL中打开相应UDP端口。 基于ICMP的traceroute稍显复杂。AS...
Linux系统命令traceroute详解(语法、选项、原理和实例)
最新发布
weixin_70208651的博客
05-26 2865
在Linux系统下,traceroute是一个网络诊断工具,用于追踪一个数据包从源点到目的地所经过的路由路径。它通过向目的地发送一系列的UDP或ICMP数据包,并记录每个数据包所经过的路由器,来显示数据包到达目的地的路径。通过发送不同TTL值的IP数据包来追踪数据包从源主机(源主机SA)到目的主机(目标主机DA)所经过的路由。通过这种方式,可以记录下从源主机到目的主机所经过的每个路由器的IP地址,以及每个路由器处理数据包的时间。这样,用户就可以看到数据包从源到目的地的完整路径。
Cisco ASA Allow PING TRACERT traffice
weixin_34163741的博客
12-21 350
故事背景:有个客户是用的中国电信的IP MAN, 用的DM ×××建立的到国外的联系,但是近期发现有丢包。解放方法:在内网的机器上写了 4 个脚本,大致内容是 不停的PING 国内出口,对端公网IP, 对端DM×××的内网IP,同时在trace一下,脚本内容::topecho %date% %time%>> ping-192-168-46-1.txtping -n...
Usage of tracert or traceroute
KEN的专栏
08-17 750
在UNIX主机系统下,直接执行命令行:       Traceroute hostname而在windows,使用tracert。 tracert(跟踪路由)是路由跟踪实用程序,用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。   Tracert 工作原理   通过向目
某集团公司cisco ASA5520的全配置
weixin_34037977的博客
10-23 362
作者:邓卫华 http://dengweihua1.blog.51cto.com 初稿: 2010.10.24 第一次修订:2010.10.26 调整了排版格式,增加了SITE-TO-SITE段的配置过程总结。 一、背景介绍 目前公司使用的SONICWALL 3060PRO旧了,订购了一台CISCO ASA5520-K8设备更换现有设备。 现有的...
思科Netflow的设置
DREW德鲁
07-27 2572
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。 数据采集 针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。 Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow数据,其它许多厂家也提供类似的采集软件。 思科 3、 在R1上配置Netflow: R1(config)#ip cef R1(config)#f
traceroute和tracert的区别
07-20
最近在看TCP/IP详解卷1时被traceroute和tracert命令给小小的坑了一下,原来二个是有差别的。我是在windows下面抓包的,结果死活抓不到udp包。。。。也是给自己提了个醒看书要动脑啊!!!
nodejs-traceroute:围绕tracert和traceroute流程的Node.js包装器
02-03
围绕Tracert和TraceRoute流程的Node.js包装器 安装 npm install --save nodejs-traceroute 强制使用IPv4或IPv6 默认情况下,给出的域名将自动解析。 通过将ipv4或ipv6传递给构造函数来显式强制进行IPv4或IPv6跟踪...
自写批量tracert脚本.zip
08-06
在压缩包内的文件名中,"批量tracert.bat"很可能是实际的批处理脚本文件,它将运行traceroute命令,并可能通过读取外部文件(如"目标地址.txt")来获取需要追踪的一系列IP地址或域名。这样的设计允许用户灵活地调整...
traceroute路由测试网络连通性
04-23
traceroute用于测试数据包传输的全过程,经过多少网关,都可以进行检查。
Linux基础课件网络测试命令traceroute命令共1
11-22
6. **安全注意事项**:使用traceroute时可能涉及的网络安全问题,比如避免对非授权目标进行追踪,以及如何处理可能的反追踪机制。 7. **故障排查**:学习如何根据traceroute的结果找出网络中的瓶颈或问题,以及可能...
CCSP实验:PIX 8.0(2)防火墙实现从低安全区域到高安全区域访问配置实验
chentaocba的专栏
06-30 5097
CCSP实验:PIX 8.0(2)防火墙实现从低安全区域到高安全区域访问配置实验 网络拓扑: 实验环境描述:PIX防火墙E0接口定义为inside区,Security-Level:100,接LAN-Router F0/0;PIX防火墙E1接口定义为outside区,Security-Level:0,接WAN-Router F0/0;PIX防火墙E3接口定义为dmz区,Security-
Cisco ASA 5585防火墙ASDM配置_七夕小子_新浪博客
七夕小子的博客
11-16 264
1. 基础配置 ASA(config)#hostname ASA ASA(config)#telnet 0.0.0.0 0.0.0.0 inside //允许内网telnet防火墙 ASA(config)#password cisco //设置远程密码 ASA(config)#enable password cisco123 //设置特权模式密码 ASA(config)#telnet 0....
ASA 排错 命令
weixin_34224941的博客
10-15 458
 大家经常用电脑或者网络设备上的traceroute,跟踪一个包从一个设备到另一个设备中间的路径,其实在PIX上还有一个命令可以跟踪一个数据包从一个接口到另一个接口  内部处理时经过的各个步骤,如acl,nat,***等  Packet-Tracer  New Reader Tip: Troubleshooting Access Problems Using Packet-T...
单出口双防火墙双核心冗余_CISCO ASA防护墙详细AS/双出口配置切换---By 年糕泰迪...
weixin_36394468的博客
01-17 1448
一.实验概述实验目的:1/开机零配置中性企业网络骨干架构。2/部署出口防火墙HA(Active/Standby)并验证测试。3/部署双出口自动冗余切换并验证测试。实验材料:EVE-NG ,ASAv(v9.8) ,路由器,L3交换机。实验前提此次实验防火墙为routed模式,并且为single模式实验拓扑:拓扑说明:1/名称说明:Net云为通EVE-NG模拟器主机桥接的NAT网卡,负责该网络拓扑向外...
NetFlow Analyzer9.5 for Linux安装与配置
热门推荐
Frank Fan
01-05 1万+
NetFlow Analyzer9.5 for Linux安装与配置 1.1     安装前环境准备 1)    将下载好的For Linux的安装文件FTP至Linux Server(Linux设定固定IP); 2)    配置系统; 配置Linux中的hosts文件,固定本机的机器名,环回IP和固定IP地址,如下: [root@CentOS software]# vi /etc/ho
Cisco ASA防火墙 Firwall Failover ActiveActive 双HSRP 实现双ISP完美切换
网络之路Blog(其他平台同名)
03-06 1024
简介 failover Active/Active是与context结合,实现一个context出现了故障,自动切换到另外一个,实现流量不间断转发,当然不间断是需要合理的配置holdtime时间的,默认情况下 可能会需要45s的切换时间来完成。 第一个拓扑是failover Active/Active的,只能实现FW出现了故障才会切换,而SP出现了故障缺不能实现切换,导致一部分内部网络无法上外网的问题。 基于第一个拓扑的原因,第二个拓扑Cisco-SP1和Cisco-SP2多加入了一条线路,来完成双
flow路由器/交换机配置(一)
weixin_33778778的博客
01-20 631
1.1.1 最典型的cisco netflow版本5配置示例 router-2621(config)#interface FastEthernet 0/1 router-2621(config-if)#ip route-cache flow ...
traceroute和tracert区别
08-11
traceroute和tracert是两个用于网络故障排查的命令行工具,它们的主要功能是帮助用户确定网络数据包在互联网中传输的路径,从而找出网络故障的原因。 它们的名称不同,是因为它们运行在不同的操作系统上。traceroute是运行在类Unix系统上的命令,而tracert则是运行在Windows系统上的命令。 虽然它们的名称不同,但是它们的原理和用法是基本相同的。它们都使用ICMP协议发送数据包,通过记录数据包的传输时间和TTL值来确定网络数据包在互联网中的路径,并且可以帮助用户找出网络中的瓶颈和故障点。 因此,无论是traceroute还是tracert都是非常有用的网络故障排查工具,可以帮助用户快速找出网络故障的原因,从而加快故障恢复的速度。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值