INBOUND ICMP相關(guān)操作完成防火墻的處理
ICMP協(xié)議的一些內(nèi)容我們講述了不少。對(duì)于它的基礎(chǔ)內(nèi)容我們這里也不再贅述。首先針對(duì)它的應(yīng)用,我們知道,在防火墻設(shè)置中常會(huì)遇到。那么今天我們就來介紹一下Ping命令中的一些具體指示。針對(duì)INBOUND ICMP的使用情況。
處理ICMP Ping與PIX防火墻
互聯(lián)網(wǎng)控制信息協(xié)議 (ICMP) ping在PIX 防火墻根據(jù)PIX代碼版本不同處理。本文的信息根據(jù)以下的軟件及硬件版本。PIX軟件版本4.1(6)從5.0.1和以后。本文提供的信息在特定實(shí)驗(yàn)室環(huán)境里從設(shè)備被創(chuàng)建了。用于本文的所有設(shè)備開始了以一個(gè)缺省(默認(rèn))配置。如果在一個(gè)真實(shí)網(wǎng)絡(luò)工作,保證您使用它以前了解所有命令的潛在影響。
Ping通過PIX
PIX軟件版本5.0.1以上
默認(rèn)情況下 INBOUND ICMP通過PIX被拒絕; 出局ICMP允許,默認(rèn)情況下 但流入的應(yīng)答被拒絕。
Ping Inbound
INBOUND ICMP可以允許帶有 管道語句或 訪問列 表語句,您在PIX使用。 請(qǐng)勿 混合輸送管道和訪問控制列表。 由所有設(shè)備超出允許設(shè)備的 ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo
access-group 101 in interface outsidePing outbound
#p#對(duì)出局ICMP的回應(yīng)可以允許帶有管道語句或訪問列表語句,您在PIX使用。 請(qǐng)勿混合輸送管道和訪問控制列表。 允許對(duì)設(shè)備10.1.1.5里面起動(dòng)的ICMP請(qǐng)求的回應(yīng)(靜態(tài)到200.1.1.5)從所有設(shè)備外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded!--- or
access-list 101 permit icmp any host 200.1.1.5 echo-reply
access-list 101 permit icmp any host 200.1.1.5 source-quench
access-list 101 permit icmp any host 200.1.1.5 unreachable
access-list 101 permit icmp any host 200.1.1.5 time-exceeded
access-group 101 in interface outside
PIX軟件版本4.2(2)至 5.0.1
默認(rèn)情況下 INBOUND ICMP通過PIX被拒絕; 出局ICMP允許,默認(rèn)情況下 但流入的應(yīng)答被拒絕。
Ping Inbound
INBOUND ICMP可以允許帶有管道語句。 由所 有設(shè)備超出允許設(shè)備的ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo Ping outbound
對(duì)出局ICMP的回應(yīng)可以允許帶有管道語句。允 許對(duì)設(shè)備10.1.1.5里面起動(dòng)的ICMP 請(qǐng)求的回應(yīng)(靜態(tài)到200.1.1.5) 從所有設(shè)備外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded
PIX軟件版本4.1(6)至4.2(2)
默認(rèn)情況下INBOUND ICMP通過PIX被 拒絕; 默認(rèn)情況下出局ICMP允許。
Ping Inbound
INBOUND ICMP可以允許帶有管道語句。 由所 有設(shè)備超出允許設(shè)備的ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5):
static (inside), outside) 200.1.1.5 10.1.1.5
conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0!--- 8 is for echo request; these are from RFC 792.
!--- See ICMP Message Types (RFC 792).Ping outbound
默認(rèn)情況下出局ICMP和回應(yīng)允許。#p#
Ping對(duì)PIX的自有接口
在PIX軟件版本4.1(6)直 到5.2.1,ICMP 數(shù)據(jù)流對(duì)PIX的自有接口允許; 不可能配置 PIX 不回應(yīng)。您不會(huì)能ping接口在"更邊"的PIX 在任何版本 。在我們的網(wǎng)絡(luò)圖,您能到ping 10.1.1.1從10.1.1.5或 200.1.1.1從外面,但您不會(huì)能連接200.1.1.1從10.1.1.5,亦不您 能到ping 10.1.1.1 ,從外面。默認(rèn)情況下開始在PIX軟件版 本5.2.1,ICMP仍然允許,但PIX ping響應(yīng)從其自有接口可以用icmp 命令 (即"stealth PIX"禁用):
icmp許可證|deny [ host ] src_addr [ src_mask ][ type ] int_name
例 如,下列防止我們的PIX發(fā)送ECHO回復(fù)以回應(yīng)ECHO請(qǐng)求:
icmp拒絕所有響應(yīng)外面
照同訪問控制列表,在沒有 許可證 語句時(shí),有一 含蓄的也拒絕其他ICMP數(shù)據(jù)流。
此 命令允許ping從網(wǎng)絡(luò)立即外面PIX:
icmp許可證200.1.1.0 255.255.255.0響應(yīng)外面
照同訪問控制列表,在沒有 許可證 語句時(shí),有一 含蓄的也拒絕其他ICMP數(shù)據(jù)流。
ICMP消息類型 (RFC 792)
消息號(hào) 消息 0 ECHO回復(fù) 3 目的地不可得到 4 Source quench 5 重定向 8 響應(yīng) 11 超出的時(shí)間 12 參數(shù)問題 13 時(shí)間戳 14 時(shí)間戳回復(fù) 15 信息請(qǐng)求 16 信息回復(fù)
