13-思科防火墙：ASA对TTL的处理

时间：2018-07-07 22:23:42 阅读：152 评论：0 收藏：0 [点我收藏+]

一、实验拓扑：

二、实验要求：
一般排错会用到Traceroute;
Udp端口从33433开始，TTL=1回应一个报文；TTL=2，33434，端口号是累加的;
不减TTL的坏处：tracert时候流量过不去一直是，人员不知道哪出现了问题；
好处：×××不知道这里是一个ASA，ASA隐藏掉了；×××猜不到中间是防火墙，一直×××，但是×××的就是防火墙；
1、R2配置环回口Lo0:2.2.2.2，ASA上部署静态路由到2.2.2.2；
2、R1先PingR2，然后traceroute 2.2.2.2，查看路径；
3、防火墙ASA禁止出现：permit ip any any，这里为了实验测试；
4、
三、命令部署：
1、ASA部署静态路由和ACL：
ASA(config)# route inside 2.2.2.0 255.255.255.0 10.1.1.2

ASA(config)# access-list out extended permit ip any any
ASA(config)# access-group out in interface outside

2、R1应用Traceroute工具：
R1#traceroute 2.2.2.2
Type escape sequence to abort.
Tracing the route to 2.2.2.2
1 10.1.1.2 16 msec 32 msec 20 msec
结论：ASA把TTL干掉了，默认不减TTL值

3、ASA可以不减TTL的做法，放行TTL的CLI：
ASA(config)# access-list ttl extended permit udp any any gt 33433 //抓取流量从33433开始抓， gt：Port greater than operator

ASA(config)# class-map abc
ASA(config-cmap)# match access-list ttl

ASA(config-cmap)# policy-map def
ASA(config-pmap)# class abc
ASA(config-pmap-c)# set connection decrement-ttl

ASA(config-pmap-c)# service-policy def interface outside

四、验证：
1、R1 Traceroute抓包查看：UDP33433端口
技术分享图片

技术分享图片
怎么看到是从：33434开始的呢？和视频讲的不一样
2、设置ASA可以减TTL值以后的效果：
R1#traceroute 2.2.2.2
Type escape sequence to abort.
Tracing the route to 2.2.2.2

1 202.100.1.10 40 msec * 12 msec
2 10.1.1.2 20 msec 28 msec 8 msec
技术分享图片
从33437开始的？和书本有点出入

13-思科防火墙：ASA对TTL的处理

标签：abc ttl out 防火 int 2.0 enc 测试 cto

原文地址：http://blog.51cto.com/13856092/2138599

踩

(0)

评论一句话评论（0）

分享档案

更多>

2021年07月29日 (22)
2021年07月28日 (40)
2021年07月27日 (32)
2021年07月26日 (79)
2021年07月23日 (29)
2021年07月22日 (30)
2021年07月21日 (42)
2021年07月20日 (16)
2021年07月19日 (90)
2021年07月16日 (35)

周排行