前言
互聯網控制信息協議 (ICMP) ping在PIX 防火墻根據PIX代碼版本不同處理。
使用的組件
本文的信息根 據以下的軟件及硬件版本。
PIX軟件 版本4.1(6)從5.0.1和以后
本文提供的信息在特定實驗室環境里從設備被創建了。用于本文的所 有設備開始了以一個缺省(默認)配置。如果在一個真實網 絡工作,保證您使用它以前了解所有命令的潛在影響。
網絡圖
Ping通過PIX
PIX軟件版本5.0.1以上
默認情況下 INBOUND ICMP通過PIX被拒絕; 出局ICMP允許,默認情況下 但流入的應答被拒絕。
Ping Inbound
INBOUND ICMP可以允許帶有 管道語句或 訪問列 表語句,您在PIX使用。 請勿 混合輸送管道和訪問控制列表。 由所有設備超出允許設備的 ICMP 10.1.1.5里面(靜態到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
Ping outbound
對出局ICMP的回應可以允許帶有 管道語句或 訪問列表語句,您在PIX使用。 請勿混合輸送 管道和訪問控制列表。 允許對設備10.1.1.5里面起動的ICMP 請求的回應(靜態到200.1.1.5)從所有設備外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
PIX軟件版本4.2(2)至 5.0.1
默認情況下 INBOUND ICMP通過PIX被拒絕; 出局ICMP允許,默認情況下 但流入的應答被拒絕。
Ping Inbound
INBOUND ICMP可以允許帶有管道語句。 由所 有設備超出允許設備的ICMP 10.1.1.5里面(靜態到200.1.1.5):
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
Ping outbound
對出局ICMP的回應可以允許帶有管道語句。允 許對設備10.1.1.5里面起動的ICMP 請求的回應(靜態到200.1.1.5) 從所有設備外面:
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0 |
PIX軟件版本4.1(6)至4.2(2)
默認情況下INBOUND ICMP通過PIX被 拒絕; 默認情況下出局ICMP允許。
Ping Inbound
INBOUND ICMP可以允許帶有管道語句。 由所 有設備超出允許設備的ICMP 10.1.1.5里面(靜態到200.1.1.5):
static (inside), outside) 200.1.1.5 10.1.1.5 !--- 8 is for echo request; these are from RFC 792. |
Ping outbound
默認情況下出局ICMP和回應允許。
Ping對PIX的自有接口
在PIX軟件版本4.1(6)直 到5.2.1,ICMP 數據流對PIX的自有接口允許; 不可能配置 PIX 不回應。您不會能ping接口在"更邊"的PIX 在任何版本 。在我們的網絡圖,您能到ping 10.1.1.1從10.1.1.5或 200.1.1.1從外面,但您不會能連接200.1.1.1從10.1.1.5,亦不您 能到ping 10.1.1.1 ,從外面。默認情況下開始在PIX軟件版 本5.2.1,ICMP仍然允許,但PIX ping響應從其自有接口可以用icmp 命令 (即"stealth PIX"禁用):
icmp許可證|deny [ host ] src_addr [ src_mask ][ type ] int_name
例 如,下列防止我們的PIX發送ECHO回復以回應ECHO請求:
icmp拒絕所有響應外面
照同訪問控制列表,在沒有 許可證 語句時,有一 含蓄的也拒絕其他ICMP數據流。
此 命令允許ping從網絡立即外面PIX:
icmp許可證200.1.1.0 255.255.255.0響應外面
照同訪問控制列表,在沒有 許可證 語句時,有一 含蓄的也拒絕其他ICMP數據流。
ICMP消息類型 (RFC 792)
|
消息號 |
消息 |
|---|---|
|
0 |
ECHO回復 |
|
3 |
目 的地不可得到 |
|
4 |
Source quench |
|
5 |
重定向 |
|
8 |
響 應 |
|
11 |
超出的時間 |
|
12 |
參數問題 |
|
13 |
時間戳 |
|
14 |
時間戳回復 |
|
15 |
信息請求 |
|
16 |
信息回復 |
