博客
关于我
ASA对Traceroute报文的处理问题
阅读量:800 次
发布时间:2023-04-17

本文共 1175 字,大约阅读时间需要 3 分钟。

ASA 5500 系列防火墙丢弃 LINUX 主机的 traceroute 报文

技术领域

ASA 5500 系列防火墙在处理 traceroute 报文时可能会出现丢弃某些 LINUX 主机的 traceroute 报文问题。本文将详细分析问题描述及其解决方法。

问题描述

ASA 防火墙丢弃 LINUX 主机的 traceroute 报文,导致网络故障排除困难。这类问题通常发生在网络调试或故障排除过程中,需要及时解决以保障网络正常运行。

ASA 对 Traceroute 报文的处理机制

Traceroute 报文的发送和处理涉及两种主要机制:基于 UDP 端口的 Traceroute 和基于 ICMP 的 Traceroute。

  • 基于 UDP 端口的 Traceroute

    这种 Traceroute 工作机制需要在防火墙的 ACL 中允许相应的 UDP 端口。例如,Linux 主机通常使用基于 UDP 的 Traceroute,其目标端口为 33434 到 33534 之间的连续端口。

  • 基于 ICMP 的 Traceroute

    基于 ICMP 的 Traceroute 更为复杂。默认情况下,ASA 会将 ICMP 报文视为无状态连接。为了支持基于 ICMP 的 Traceroute,需要在防火墙上启用 ICMP 检查。这样,ASA 会将 ICMP 会话视为有状态连接,从而允许返回流量。同时,需要启用 ICMP 错误检查以支持 Traceroute 的 time-exceeded 错误响应。

  • 故障排除步骤

  • 确定 Traceroute 的类型

    • 如果使用基于 UDP 端口的 Traceroute,需要在 ACL 中允许多个连续的 UDP 端口。
    • 如果使用基于 ICMP 的 Traceroute,可以通过在 traceroute 命令中添加 -I 选项强制使用基于 ICMP 的机制。
  • 配置防火墙支持基于 ICMP 的 Traceroute

    • 启用 ICMP 检查:
      ciscoasa(config-pmap)# class inspection_default  
      ciscoasa(config-pmap-c)# inspect icmp
    • 启用 ICMP 错误检查:
       
  • 验证配置

    • 使用 packet-tracer 命令验证防火墙行为。
    • 检查防火墙的日志和抓包,确认 Traceroute 报文是否能正常通过。
  • 总结

    • 确认 Traceroute 类型:检查主机使用的是基于 UDP 端口还是基于 ICMP 的 Traceroute。
    • 配置防火墙:在 ACL 中允许相应的 UDP 端口或启用 ICMP 检查。
    • 验证配置:通过 packet-tracer 和抓包工具确认防火墙行为。

    相关文档

    • ASA/PIX/FWSM: 处理 ICMP

    转载地址:http://zxgfk.baihongyu.com/

    你可能感兴趣的文章
    Mysql学习总结(69)——Mysql EXPLAIN 命令使用总结
    查看>>
    Mysql学习总结(6)——MySql之ALTER命令用法详细解读
    查看>>
    Mysql学习总结(70)——MySQL 优化实施方案
    查看>>
    Mysql学习总结(71)——MySQL 重复记录查询与删除总结
    查看>>
    Mysql学习总结(71)——数据库介绍(MySQL安装 体系结构、基本管理)再回顾
    查看>>
    Mysql学习总结(73)——MySQL 查询A表存在B表不存在的数据SQL总结
    查看>>
    Mysql学习总结(76)——MySQL执行计划(explain)结果含义总结
    查看>>
    Mysql学习总结(77)——温故Mysql数据库开发核心原则与规范
    查看>>
    Mysql学习总结(78)——MySQL各版本差异整理
    查看>>
    Mysql学习总结(79)——MySQL常用函数总结
    查看>>
    Mysql学习总结(7)——MySql索引原理与使用大全
    查看>>
    Mysql学习总结(80)——统计数据库的总记录数和库中各个表的数据量
    查看>>
    Mysql学习总结(81)——为什么MySQL不推荐使用uuid或者雪花id作为主键?
    查看>>
    Mysql学习总结(82)——MySQL逻辑删除与数据库唯一性约束如何解决?
    查看>>
    Mysql学习总结(83)——常用的几种分布式锁:ZK分布式锁、Redis分布式锁、数据库分布式锁、基于JDK的分布式锁方案对比总结
    查看>>
    Mysql学习总结(84)—— Mysql的主从复制延迟问题总结
    查看>>
    Mysql学习总结(85)——开发人员最应该明白的数据库设计原则
    查看>>
    Mysql学习总结(8)——MySql基本查询、连接查询、子查询、正则表达查询讲解
    查看>>
    Mysql学习总结(9)——MySql视图原理讲解与使用大全
    查看>>
    MySQL学习笔记十七:复制特性
    查看>>