2015年3月22日 星期日

Cisco ASA ICMP

遇到有客戶說:為什麼我在內部Ping不出去?
看Log上面deny的訊息是從outside到inside。
EXP:
Deny icmp src outside:10.1.1.6 dst inside:172.16.1.1 (type 5, code 0) by access-group "outside_access

詢問前輩與查相關文件後,ASA對於ICMP的封包處理不是單方向允許就好,
要針對兩個放項都要放行。

一,外部要Ping到內部:
從outside或是security-level低到高預設Ping是被deny掉的。
需要增加access-list與nat才行
EXP:
pix(config)#static (inside,outside) 192.168.1.5 10.1.1.5 netmask 255.255.255.255
pix(config)#access-list 101 permit icmp any host 192.168.1.5 10.1.1.5
pix(config)#access-group 101 in interface outside

二、內部要Ping到外部:
 有兩種方式
A:內部Ping外部的時候,回來的訊息允許放行,其他的icmp封包從外部進來時可能為外部主機的行為。
EXP:
access-list 101 permit icmp any any echo-reply
access-list 101 permit icmp any any source-quench 
access-list 101 permit icmp any any unreachable  
access-list 101 permit icmp any any time-exceeded
access-group 101 in interface outside
B: 設定ICMP inspection
允許受信任的IP可以通過防火牆,回來的訊息也可以回到受信任的主機上。
EXP: 
policy-map global_policy
    class inspection_default
     inspect icmp
 
參考文件:ASA/PIX/FWSM: Handling ICMP Pings and Traceroute

沒有留言:

張貼留言