穿越ASA进行traceroute或tracert测试

最新推荐文章于 2021-03-06 09:49:00 发布
最新推荐文章于 2021-03-06 09:49:00 发布
阅读量399 收藏 3
点赞数
文章标签: 网络 操作系统
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_34088838/article/details/85087112
版权

一.概述:

   默认情况下,ASA不会回应TTL Exceeded的包,因此traceroute/tracert看不到ASA设备;另外,由于防火墙策略限制,traceroute/tracert也无法穿越防火墙。

二.基本思路:

   根据traceroute/tracert不同处理方式,确定为什么无法穿越防火墙,从而放开相应的防火墙策略:

A.Windows主机:

   Windows主机tracert命令,发出icmp request包,从TTL=1开始,逐跳TTL加1,每跳发送三个包,中间设备回复ICMP type 11 Code 0 的TTL超时的ICMP包,目的设备回复icmp reply的包。
----如果开启icmp审查,虽然内网发出的icmp reply的包可以正常返回,但是TTL超时的ICMP包不能正常返回,需要策略放行。  

B.Linux、网络设备:

   Linux、网络设备traceroute命令,发出UDP包,第一个包目的端口为33434,从TTL=1开始,每个TTL会发三个包,逐跳TTL加1,UDP目的端口每个包会加1,中间设备回复ICMP type 11的TTL超时的ICMP包,目的设备回复ICMP type 3 Code 3的端口不可达的ICMP包 。

----Linux、网络设备traceroute默认支持30跳,每跳发三个UDP包,所以UDP目的端口为33434~33434+30*3-1,即33434~33523

----如果从防火墙的高安全区到低安全区进行traceroute,则需要放行TTL超时的ICMP包和端口不可达的ICMP包

----如果从防火墙的低安全区高安全区进行traceroute,则只需要放行起始的UDP包,目标端口从33434~33523

三.防火墙策略设置:

A.从高安全区到低安全区

---比如从Inside到Outside

①ASA设备回复TTL超时
class-map ALL_IP
match any
policy-map global_policy
class ALL_IP
set connection decrement-ttl

②全局开启ICMP审查

policy-map global_policy
class inspection_default

 inspect icmp
 inspect icmp error   //*这个还不明白到底是什么作用,针对什么情况

③防火墙策略:

access-list outside_access_in remark ICMP type 11 for Windows Traceroute
access-list outside_access_in extended permit icmp any any time-exceeded
access-list outside_access_in remark ICMP type 3 for Cisco and Linux
access-list outside_access_in extended permit icmp any any unreachable
access-group outside_access_in in interface outside

④调整icmp unreachable的速率

ciscoasa(config)#icmp unreachable rate-limit 10 burst-size 5
!--- Adjust ICMP unreachable replies:
!--- The default is rate-limit 1 burst-size 1.
!--- The default will result in timeouts for the ASA hop:

B.从低安全区高安全区

----比如从outsideinside(如果为互联网边界防火墙,不建议配置

①ASA设备回复TTL超时

同上。

②放行初始流量

1.对于windows主机放行icmp echo流量

access-list outside_access_in permit icmp any any echo

----ACL中icmp echo包,等同于icmp echo request包

2.对于linux和网络设备放行udp流量

access-list outside_access_in remark Tracert from outside

access-list outside_access_in permit udp any any range 33434 33523

access-group outside_access_in in interface outside

----因为放行了icmp echo和udp33434~33523,无法避免outside区域设备利用它们对inside区域的设备进行DOS或DDOS***,因此如果是互联网边界防火墙没有必要进行开放;如果为公司内部不同安全区之间的防火墙,可根据需要确定是否放行。

weixin_34088838
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Cisco ASA Allow PING TRACERT traffice
weixin_34163741的博客
12-21 359
故事背景:有个客户是用的中国电信的IP MAN, 用的DM ×××建立的到国外的联系,但是近期发现有丢包。解放方法:在内网的机器上写了 4 个脚本,大致内容是 不停的PING 国内出口,对端公网IP, 对端DM×××的内网IP,同时在trace一下,脚本内容::topecho %date% %time%>> ping-192-168-46-1.txtping -n...
ASATraceroute报文的处理问题
weixin_34293059的博客
08-18 282
技术领域ASA 5500 Series, ICMP, Traceroute问题描述ASA丢弃某些LINUX主机的traceroute报文。ASA对于Traceroute报文的处理机制Traceroute报文工作机制分为两种:基于UDP端口以及基于ICMP。 基于UDP端口的traceroute需要在ACL中打开相应UDP端口。 基于ICMP的traceroute稍显复杂。AS...
Usage of tracert or traceroute
KEN的专栏
08-17 755
在UNIX主机系统下,直接执行命令行:       Traceroute hostname而在windows,使用tracert。 tracert(跟踪路由)是路由跟踪实用程序,用于确定 IP 数据报访问目标所采取的路径。Tracert 命令用 IP 生存时间 (TTL) 字段和 ICMP 错误消息来确定从一个主机到网络上其他主机的路由。   Tracert 工作原理   通过向目
某集团公司cisco ASA5520的全配置
weixin_34037977的博客
10-23 366
作者:邓卫华 http://dengweihua1.blog.51cto.com 初稿: 2010.10.24 第一次修订:2010.10.26 调整了排版格式,增加了SITE-TO-SITE段的配置过程总结。 一、背景介绍 目前公司使用的SONICWALL 3060PRO旧了,订购了一台CISCO ASA5520-K8设备更换现有设备。 现有的...
网络安全篇 ASA对TTL的处理-24
佐德将军的博客
02-19 468
目录 一、实验原理 二、实验拓扑 三、实验步骤 四、实验过程 总结 实验难度 2 实验复杂度 2 一、实验原理 TTL是生存时间,也有人称它为生存周期,它是用于衡量一个数据包可以从wy 二、实验拓扑 三、实验步骤 四、实验过程 总结 ...
traceroute和tracert的区别
07-20
最近在看TCP/IP详解卷1时被traceroute和tracert命令给小小的坑了一下,原来二个是有差别的。我是在windows下面抓包的,结果死活抓不到udp包。。。。也是给自己提了个醒看书要动脑啊!!!
nodejs-traceroute:围绕tracert和traceroute流程的Node.js包装器
02-03
围绕Tracert和TraceRoute流程的Node.js包装器 安装 npm install --save nodejs-traceroute 强制使用IPv4或IPv6 默认情况下,给出的域名将自动解析。 通过将ipv4或ipv6传递给构造函数来显式强制进行IPv4或IPv6跟踪...
自写批量tracert脚本.zip
08-06
在压缩包内的文件名中,"批量tracert.bat"很可能是实际的批处理脚本文件,它将运行traceroute命令,并可能通过读取外部文件(如"目标地址.txt")来获取需要追踪的一系列IP地址或域名。这样的设计允许用户灵活地调整...
traceroute路由测试网络连通性
04-23
traceroute用于测试数据包传输的全过程,经过多少网关,都可以进行检查。
Linux基础课件网络测试命令traceroute命令共1
11-22
6. **安全注意事项**:使用traceroute时可能涉及的网络安全问题,比如避免对非授权目标进行追踪,以及如何处理可能的反追踪机制。 7. **故障排查**:学习如何根据traceroute的结果找出网络中的瓶颈或问题,以及可能...
思科Netflow的设置
DREW德鲁
07-27 2627
一个NetFlow流定义为在一个源IP地址和目的IP地址间传输的单向数据包流,且所有数据包具有共同的传输层源、目的端口号。 数据采集 针对路由器送出的NetFlow数据,可以利用NetFlow数据采集软件存储到服务器上,以便利用各种NetFlow数据分析工具进行进一步的处理。 Cisco提供了Cisco NetFlow Collector(NFC)采集NetFlow数据,其它许多厂家也提供类似的采集软件。 思科 3、 在R1上配置Netflow: R1(config)#ip cef R1(config)#f
CCSP实验:PIX 8.0(2)防火墙实现从安全区域到安全区访问配置实验
chentaocba的专栏
06-30 5109
CCSP实验:PIX 8.0(2)防火墙实现从安全区域到安全区访问配置实验 网络拓扑: 实验环境描述:PIX防火墙E0接口定义为inside区,Security-Level:100,接LAN-Router F0/0;PIX防火墙E1接口定义为outside区,Security-Level:0,接WAN-Router F0/0;PIX防火墙E3接口定义为dmz区,Security-
Cisco ASA 5585防火墙ASDM配置_七夕小子_新浪博客
七夕小子的博客
11-16 269
1. 基础配置 ASA(config)#hostname ASA ASA(config)#telnet 0.0.0.0 0.0.0.0 inside //允许内网telnet防火墙 ASA(config)#password cisco //设置远程密码 ASA(config)#enable password cisco123 //设置特权模式密码 ASA(config)#telnet 0....
ASA 排错 命令
weixin_34224941的博客
10-15 466
 大家经常用电脑或者网络设备上的traceroute,跟踪一个包从一个设备到另一个设备中间的路径,其实在PIX上还有一个命令可以跟踪一个数据包从一个接口到另一个接口  内部处理时经过的各个步骤,如acl,nat,***等  Packet-Tracer  New Reader Tip: Troubleshooting Access Problems Using Packet-T...
单出口双防火墙双核心冗余_CISCO ASA防护墙详细AS/双出口配置切换---By 年糕泰迪...
weixin_36394468的博客
01-17 1461
一.实验概述实验目的:1/开机零配置中性企业网络骨干架构。2/部署出口防火墙HA(Active/Standby)并验证测试。3/部署双出口自动冗余切换并验证测试。实验材料:EVE-NG ,ASAv(v9.8) ,路由器,L3交换机。实验前提此次实验防火墙为routed模式,并且为single模式实验拓扑:拓扑说明:1/名称说明:Net云为通EVE-NG模拟器主机桥接的NAT网卡,负责该网络拓扑向外...
NetFlow Analyzer9.5 for Linux安装与配置
热门推荐
Frank Fan
01-05 1万+
NetFlow Analyzer9.5 for Linux安装与配置 1.1     安装前环境准备 1)    将下载好的For Linux的安装文件FTP至Linux Server(Linux设定固定IP); 2)    配置系统; 配置Linux中的hosts文件,固定本机的机器名,环回IP和固定IP地址,如下: [root@CentOS software]# vi /etc/ho
Cisco ASA防火墙 Firwall Failover ActiveActive 双HSRP 实现双ISP完美切换
网络之路Blog(其他平台同名)
03-06 1043
简介 failover Active/Active是与context结合,实现一个context出现了故障,自动切换到另外一个,实现流量不间断转发,当然不间断是需要合理的配置holdtime时间的,默认情况下 可能会需要45s的切换时间来完成。 第一个拓扑是failover Active/Active的,只能实现FW出现了故障才会切换,而SP出现了故障缺不能实现切换,导致一部分内部网络无法上外网的问题。 基于第一个拓扑的原因,第二个拓扑Cisco-SP1和Cisco-SP2多加入了一条线路,来完成双
flow路由器/交换机配置(一)
weixin_33778778的博客
01-20 641
1.1.1 最典型的cisco netflow版本5配置示例 router-2621(config)#interface FastEthernet 0/1 router-2621(config-if)#ip route-cache flow ...
访问控制列表加注释的方式。
lotusr5的专栏
12-19 841
access-list 101 remark allow traffic to my PCaccess-list 101 permit ip any host 192.168.1.1access-list 101 remark allow only web traffic to web serveraccess-list 101 permit tcp any host 192.168.1.2 eq
traceroute和tracert区别
最新发布
08-11
traceroute和tracert是两个用于网络故障排查的命令行工具,它们的主要功能是帮助用户确定网络数据包在互联网中传输的路径,从而找出网络故障的原因。 它们的名称不同,是因为它们运行在不同的操作系统上。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值