处理ICMP Ping与PIX防火墙_中国IT运维网www.cnitom.com

前言
互联网控制信息协议 (ICMP) ping在PIX 防火墙根据PIX代码版本不同处理。

使用的组件
本文的信息根据以下的软件及硬件版本。

PIX软件版本4.1(6)从5.0.1和以后

本文提供的信息在特定实验室环境里从设备被创建了。用于本文的所有设备开始了以一个缺省（默认）配置。如果在一个真实网络工作，保证您使用它以前了解所有命令的潜在影响。

网络图

Ping通过PIX
PIX软件版本5.0.1以上
默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许，默认情况下但流入的应答被拒绝。

Ping Inbound
INBOUND ICMP可以允许带有管道语句或访问列表语句，您在PIX使用。请勿混合输送管道和访问控制列表。由所有设备超出允许设备的 ICMP 10.1.1.5里面(静态到200.1.1.5)：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo
access-group 101 in interface outside

Ping outbound
对出局ICMP的回应可以允许带有管道语句或访问列表语句，您在PIX使用。请勿混合输送管道和访问控制列表。允许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5)从所有设备外面：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded
!--- or 
access-list 101 permit icmp any host 200.1.1.5 echo-reply
access-list 101 permit icmp any host 200.1.1.5 source-quench
access-list 101 permit icmp any host 200.1.1.5 unreachable
access-list 101 permit icmp any host 200.1.1.5 time-exceeded
access-group 101 in interface outside

PIX软件版本4.2(2)至 5.0.1
默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许，默认情况下但流入的应答被拒绝。

Ping Inbound
INBOUND ICMP可以允许带有管道语句。由所有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5)：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

Ping outbound
对出局ICMP的回应可以允许带有管道语句。允许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5) 从所有设备外面：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

PIX软件版本4.1(6)至4.2(2)
默认情况下INBOUND ICMP通过PIX被拒绝; 默认情况下出局ICMP允许。

Ping Inbound
INBOUND ICMP可以允许带有管道语句。由所有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5)：

static (inside), outside) 200.1.1.5 10.1.1.5
conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0

!--- 8 is for echo request; these are from RFC 792.
!--- See ICMP Message Types (RFC 792).

Ping outbound
默认情况下出局ICMP和回应允许。

Ping对PIX的自有接口
在PIX软件版本4.1(6)直到5.2.1，ICMP 数据流对PIX的自有接口允许; 不可能配置 PIX 不回应。您不会能ping接口在"更边"的PIX 在任何版本。在我们的网络图，您能到ping 10.1.1.1从10.1.1.5或 200.1.1.1从外面，但您不会能连接200.1.1.1从10.1.1.5，亦不您能到ping 10.1.1.1 ，从外面。默认情况下开始在PIX软件版本5.2.1，ICMP仍然允许，但PIX ping响应从其自有接口可以用icmp 命令 (即"stealth PIX"禁用)：

icmp许可证|deny [ host ] src_addr [ src_mask ][ type ] int_name

例如，下列防止我们的PIX发送ECHO回复以回应ECHO请求：

icmp拒绝所有响应外面

照同访问控制列表，在没有许可证语句时，有一含蓄的也拒绝其他ICMP数据流。

此命令允许ping从网络立即外面PIX：

icmp许可证200.1.1.0 255.255.255.0响应外面

照同访问控制列表，在没有许可证语句时，有一含蓄的也拒绝其他ICMP数据流。

ICMP消息类型 (RFC 792)

消息号	消息
0	ECHO回复
3	目的地不可得到
4	Source quench
5	重定向
8	响应
11	超出的时间
12	参数问题
13	时间戳
14	时间戳回复
15	信息请求
16	信息回复

（责任编辑: 51CTO.com TEL：010-68476606)