ASA对Traceroute报文的处理问题
发布日期:2025-06-20 09:16:34
浏览次数:7
分类:精选文章
本文共 1175 字,大约阅读时间需要 3 分钟。
ASA 5500 系列防火墙丢弃 LINUX 主机的 traceroute 报文
技术领域
ASA 5500 系列防火墙在处理 traceroute 报文时可能会出现丢弃某些 LINUX 主机的 traceroute 报文问题。本文将详细分析问题描述及其解决方法。
问题描述
ASA 防火墙丢弃 LINUX 主机的 traceroute 报文,导致网络故障排除困难。这类问题通常发生在网络调试或故障排除过程中,需要及时解决以保障网络正常运行。
ASA 对 Traceroute 报文的处理机制
Traceroute 报文的发送和处理涉及两种主要机制:基于 UDP 端口的 Traceroute 和基于 ICMP 的 Traceroute。
基于 UDP 端口的 Traceroute
这种 Traceroute 工作机制需要在防火墙的 ACL 中允许相应的 UDP 端口。例如,Linux 主机通常使用基于 UDP 的 Traceroute,其目标端口为 33434 到 33534 之间的连续端口。基于 ICMP 的 Traceroute
基于 ICMP 的 Traceroute 更为复杂。默认情况下,ASA 会将 ICMP 报文视为无状态连接。为了支持基于 ICMP 的 Traceroute,需要在防火墙上启用 ICMP 检查。这样,ASA 会将 ICMP 会话视为有状态连接,从而允许返回流量。同时,需要启用 ICMP 错误检查以支持 Traceroute 的 time-exceeded 错误响应。故障排除步骤
确定 Traceroute 的类型
- 如果使用基于 UDP 端口的 Traceroute,需要在 ACL 中允许多个连续的 UDP 端口。
- 如果使用基于 ICMP 的 Traceroute,可以通过在 traceroute 命令中添加
-I选项强制使用基于 ICMP 的机制。
配置防火墙支持基于 ICMP 的 Traceroute
- 启用 ICMP 检查:
ciscoasa(config-pmap)# class inspection_default ciscoasa(config-pmap-c)# inspect icmp
- 启用 ICMP 错误检查:
验证配置
- 使用 packet-tracer 命令验证防火墙行为。
- 检查防火墙的日志和抓包,确认 Traceroute 报文是否能正常通过。
总结
- 确认 Traceroute 类型:检查主机使用的是基于 UDP 端口还是基于 ICMP 的 Traceroute。
- 配置防火墙:在 ACL 中允许相应的 UDP 端口或启用 ICMP 检查。
- 验证配置:通过 packet-tracer 和抓包工具确认防火墙行为。
相关文档
- ASA/PIX/FWSM: 处理 ICMP
发表评论
最新留言
感谢大佬
[***.8.128.20]2026年06月03日 02时33分57秒
关于作者
喝酒易醉,品茶养心,人生如梦,品茶悟道,何以解忧?唯有杜康!
-- 愿君每日到此一游!
推荐文章
SpringBoot处理JSON数据
2023-02-28
PHP 输入输出流合集
2023-02-28
php--防止sql注入的方法
2023-02-28
php-兔子问题,斐波那契数列
2023-02-28
php-有序数组合并后仍有序
2023-02-28
php-约瑟夫问题
2023-02-28
php.ini中常见的配置信息选项
2023-02-28
php.ini配置中有10处设置不当,会使网站存在安全问题
2023-02-28
PHP7 新特性
2023-02-28
PHP7+MySQL5.7+Nginx1.9. on Ubuntu 14.0
2023-02-28
php7.1.6 + redis
2023-02-28
php7中使用php_memcache扩展
2023-02-28
PHP7中十个需要避免的坑
2023-02-28
php7和PHP5对比的新特性和性能优化
2023-02-28
PHP7安装pdo_mysql扩展
2023-02-28
PHP7实战开发简单CMS内容管理系统(7) 后台登录架构 用户登录校验
2023-02-28
php7,从phpExcel升级到PhpSpreadsheet
2023-02-28
PHP8中match新语句的操作方法
2023-02-28
PHP:第一章——PHP中常量和预定义常量
2023-02-28
白红宇的个人博客 - 记录点点滴滴的事 - 您是第 475217113 位访客