博客
关于我
ASA对Traceroute报文的处理问题
阅读量:800 次
发布时间:2023-04-17

本文共 1175 字,大约阅读时间需要 3 分钟。

ASA 5500 系列防火墙丢弃 LINUX 主机的 traceroute 报文

技术领域

ASA 5500 系列防火墙在处理 traceroute 报文时可能会出现丢弃某些 LINUX 主机的 traceroute 报文问题。本文将详细分析问题描述及其解决方法。

问题描述

ASA 防火墙丢弃 LINUX 主机的 traceroute 报文,导致网络故障排除困难。这类问题通常发生在网络调试或故障排除过程中,需要及时解决以保障网络正常运行。

ASA 对 Traceroute 报文的处理机制

Traceroute 报文的发送和处理涉及两种主要机制:基于 UDP 端口的 Traceroute 和基于 ICMP 的 Traceroute。

  • 基于 UDP 端口的 Traceroute

    这种 Traceroute 工作机制需要在防火墙的 ACL 中允许相应的 UDP 端口。例如,Linux 主机通常使用基于 UDP 的 Traceroute,其目标端口为 33434 到 33534 之间的连续端口。

  • 基于 ICMP 的 Traceroute

    基于 ICMP 的 Traceroute 更为复杂。默认情况下,ASA 会将 ICMP 报文视为无状态连接。为了支持基于 ICMP 的 Traceroute,需要在防火墙上启用 ICMP 检查。这样,ASA 会将 ICMP 会话视为有状态连接,从而允许返回流量。同时,需要启用 ICMP 错误检查以支持 Traceroute 的 time-exceeded 错误响应。

  • 故障排除步骤

  • 确定 Traceroute 的类型

    • 如果使用基于 UDP 端口的 Traceroute,需要在 ACL 中允许多个连续的 UDP 端口。
    • 如果使用基于 ICMP 的 Traceroute,可以通过在 traceroute 命令中添加 -I 选项强制使用基于 ICMP 的机制。
  • 配置防火墙支持基于 ICMP 的 Traceroute

    • 启用 ICMP 检查:
      ciscoasa(config-pmap)# class inspection_default  
      ciscoasa(config-pmap-c)# inspect icmp
    • 启用 ICMP 错误检查:
       
  • 验证配置

    • 使用 packet-tracer 命令验证防火墙行为。
    • 检查防火墙的日志和抓包,确认 Traceroute 报文是否能正常通过。
  • 总结

    • 确认 Traceroute 类型:检查主机使用的是基于 UDP 端口还是基于 ICMP 的 Traceroute。
    • 配置防火墙:在 ACL 中允许相应的 UDP 端口或启用 ICMP 检查。
    • 验证配置:通过 packet-tracer 和抓包工具确认防火墙行为。

    相关文档

    • ASA/PIX/FWSM: 处理 ICMP

    转载地址:http://zxgfk.baihongyu.com/

    你可能感兴趣的文章
    MySQL报错ERROR 1045 (28000): Access denied for user ‘root‘@‘localhost‘
    查看>>
    Mysql报错Packet for query is too large问题解决
    查看>>
    mysql报错级别_更改MySQL日志错误级别记录非法登陆(Access denied)
    查看>>
    Mysql报错:too many connections
    查看>>
    MySQL报错:无法启动MySQL服务
    查看>>
    mysql授权用户,创建用户名密码,授权单个数据库,授权多个数据库
    查看>>
    mysql排序查询
    查看>>
    MySQL排序的艺术:你真的懂 Order By吗?
    查看>>
    MySQL排序的艺术:你真的懂 Order By吗?
    查看>>
    Mysql推荐书籍
    查看>>
    Mysql插入数据从指定选项中随机选择、插入时间从指定范围随机生成、Navicat使用存储过程模拟插入测试数据
    查看>>
    MYSQL搜索引擎
    查看>>
    mysql操作数据表的命令_MySQL数据表操作命令
    查看>>
    mysql操作日志记录查询_如何使用SpringBoot AOP 记录操作日志、异常日志?
    查看>>
    MySQL支持的事务隔离级别,以及悲观锁和乐观锁的原理和应用场景?
    查看>>
    mysql支持表情
    查看>>
    MySQL支撑百万级流量高并发的网站部署详解
    查看>>
    MySQL改动rootpassword的多种方法
    查看>>
    mysql数据分组索引_MYSQL之索引配置方法分类
    查看>>
    mysql数据取差,mysql屏蔽主外键关联关系
    查看>>