博客
关于我
ASA对Traceroute报文的处理问题
阅读量:800 次
发布时间:2023-04-17

本文共 1175 字,大约阅读时间需要 3 分钟。

ASA 5500 系列防火墙丢弃 LINUX 主机的 traceroute 报文

技术领域

ASA 5500 系列防火墙在处理 traceroute 报文时可能会出现丢弃某些 LINUX 主机的 traceroute 报文问题。本文将详细分析问题描述及其解决方法。

问题描述

ASA 防火墙丢弃 LINUX 主机的 traceroute 报文,导致网络故障排除困难。这类问题通常发生在网络调试或故障排除过程中,需要及时解决以保障网络正常运行。

ASA 对 Traceroute 报文的处理机制

Traceroute 报文的发送和处理涉及两种主要机制:基于 UDP 端口的 Traceroute 和基于 ICMP 的 Traceroute。

  • 基于 UDP 端口的 Traceroute

    这种 Traceroute 工作机制需要在防火墙的 ACL 中允许相应的 UDP 端口。例如,Linux 主机通常使用基于 UDP 的 Traceroute,其目标端口为 33434 到 33534 之间的连续端口。

  • 基于 ICMP 的 Traceroute

    基于 ICMP 的 Traceroute 更为复杂。默认情况下,ASA 会将 ICMP 报文视为无状态连接。为了支持基于 ICMP 的 Traceroute,需要在防火墙上启用 ICMP 检查。这样,ASA 会将 ICMP 会话视为有状态连接,从而允许返回流量。同时,需要启用 ICMP 错误检查以支持 Traceroute 的 time-exceeded 错误响应。

  • 故障排除步骤

  • 确定 Traceroute 的类型

    • 如果使用基于 UDP 端口的 Traceroute,需要在 ACL 中允许多个连续的 UDP 端口。
    • 如果使用基于 ICMP 的 Traceroute,可以通过在 traceroute 命令中添加 -I 选项强制使用基于 ICMP 的机制。
  • 配置防火墙支持基于 ICMP 的 Traceroute

    • 启用 ICMP 检查:
      ciscoasa(config-pmap)# class inspection_default  
      ciscoasa(config-pmap-c)# inspect icmp
    • 启用 ICMP 错误检查:
       
  • 验证配置

    • 使用 packet-tracer 命令验证防火墙行为。
    • 检查防火墙的日志和抓包,确认 Traceroute 报文是否能正常通过。
  • 总结

    • 确认 Traceroute 类型:检查主机使用的是基于 UDP 端口还是基于 ICMP 的 Traceroute。
    • 配置防火墙:在 ACL 中允许相应的 UDP 端口或启用 ICMP 检查。
    • 验证配置:通过 packet-tracer 和抓包工具确认防火墙行为。

    相关文档

    • ASA/PIX/FWSM: 处理 ICMP

    转载地址:http://zxgfk.baihongyu.com/

    你可能感兴趣的文章
    mysql启动以后会自动关闭_驾照虽然是C1,一直是开自动挡的车,会不会以后就不会开手动了?...
    查看>>
    mysql启动和关闭外键约束的方法(FOREIGN_KEY_CHECKS)
    查看>>
    Mysql启动失败解决过程
    查看>>
    MySQL启动失败:Can't start server: Bind on TCP/IP port
    查看>>
    mysql启动报错
    查看>>
    mysql启动报错The server quit without updating PID file几种解决办法
    查看>>
    MySQL命令行登陆,远程登陆MySQL
    查看>>
    mysql命令:set sql_log_bin=on/off
    查看>>
    mySQL和Hive的区别
    查看>>
    MySQL和Java数据类型对应
    查看>>
    mysql和oorcale日期区间查询【含左右区间问题】
    查看>>
    MySQL和SQL入门
    查看>>
    mysql在centos下用命令批量导入报错_Variable ‘character_set_client‘ can‘t be set to the value of ‘---linux工作笔记042
    查看>>
    Mysql在Linux运行时新增配置文件提示:World-wrirable config file ‘/etc/mysql/conf.d/my.cnf‘ is ignored 权限过高导致
    查看>>
    Mysql在Windows上离线安装与配置
    查看>>
    MySQL在渗透测试中的应用
    查看>>
    Mysql在离线安装时启动失败:mysql服务无法启动,服务没有报告任何错误
    查看>>
    Mysql在离线安装时提示:error: Found option without preceding group in config file
    查看>>
    MySQL基于SSL的主从复制
    查看>>
    Mysql基本操作
    查看>>