ICMP协议的一些内容我们讲述了不少。对于它的基础内容我们这里也不再赘述。首先针对它的应用,我们知道,在防火墙设置中常会遇到。那么今天我们就来介绍一下Ping命令中的一些具体指示。针对INBOUND ICMP的使用情况。
处理ICMP Ping与PIX防火墙
互联网控制信息协议 (ICMP) ping在PIX 防火墙根据PIX代码版本不同处理。本文的信息根据以下的软件及硬件版本。PIX软件版本4.1(6)从5.0.1和以后。本文提供的信息在特定实验室环境里从设备被创建了。用于本文的所有设备开始了以一个缺省(默认)配置。如果在一个真实网络工作,保证您使用它以前了解所有命令的潜在影响。
Ping通过PIX
PIX软件版本5.0.1以上
默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许,默认情况下 但流入的应答被拒绝。
Ping Inbound
INBOUND ICMP可以允许带有 管道语句或 访问列 表语句,您在PIX使用。 请勿 混合输送管道和访问控制列表。 由所有设备超出允许设备的 ICMP 10.1.1.5里面(静态到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo
access-group 101 in interface outsidePing outbound
#p#对出局ICMP的回应可以允许带有管道语句或访问列表语句,您在PIX使用。 请勿混合输送管道和访问控制列表。 允许对设备10.1.1.5里面起动的ICMP请求的回应(静态到200.1.1.5)从所有设备外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded!--- or
access-list 101 permit icmp any host 200.1.1.5 echo-reply
access-list 101 permit icmp any host 200.1.1.5 source-quench
access-list 101 permit icmp any host 200.1.1.5 unreachable
access-list 101 permit icmp any host 200.1.1.5 time-exceeded
access-group 101 in interface outside
PIX软件版本4.2(2)至 5.0.1
默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许,默认情况下 但流入的应答被拒绝。
Ping Inbound
INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo Ping outbound
对出局ICMP的回应可以允许带有管道语句。允 许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5) 从所有设备外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded
PIX软件版本4.1(6)至4.2(2)
默认情况下INBOUND ICMP通过PIX被 拒绝; 默认情况下出局ICMP允许。
Ping Inbound
INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5):
static (inside), outside) 200.1.1.5 10.1.1.5
conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0!--- 8 is for echo request; these are from RFC 792.
!--- See ICMP Message Types (RFC 792).Ping outbound
默认情况下出局ICMP和回应允许。#p#
Ping对PIX的自有接口
在PIX软件版本4.1(6)直 到5.2.1,ICMP 数据流对PIX的自有接口允许; 不可能配置 PIX 不回应。您不会能ping接口在"更边"的PIX 在任何版本 。在我们的网络图,您能到ping 10.1.1.1从10.1.1.5或 200.1.1.1从外面,但您不会能连接200.1.1.1从10.1.1.5,亦不您 能到ping 10.1.1.1 ,从外面。默认情况下开始在PIX软件版 本5.2.1,ICMP仍然允许,但PIX ping响应从其自有接口可以用icmp 命令 (即"stealth PIX"禁用):
icmp许可证|deny [ host ] src_addr [ src_mask ][ type ] int_name
例 如,下列防止我们的PIX发送ECHO回复以回应ECHO请求:
icmp拒绝所有响应外面
照同访问控制列表,在没有 许可证 语句时,有一 含蓄的也拒绝其他ICMP数据流。
此 命令允许ping从网络立即外面PIX:
icmp许可证200.1.1.0 255.255.255.0响应外面
照同访问控制列表,在没有 许可证 语句时,有一 含蓄的也拒绝其他ICMP数据流。
ICMP消息类型 (RFC 792)
消息号 消息 0 ECHO回复 3 目的地不可得到 4 Source quench 5 重定向 8 响应 11 超出的时间 12 参数问题 13 时间戳 14 时间戳回复 15 信息请求 16 信息回复