处理ICMP Ping与PIX防火墙
2005-12-18   

互联网控制信息协议 (ICMP) ping在PIX 防火墙根据PIX代码版本不同处理。

本文的信息根 据以下的软件及硬件版本。

本文提供 的信息在特定实验室环境里从设备被创建了。用于本文的所 有设备开始了以一个缺省（默认）配置。如果在一个真实网 络工作，保证您使用它以前了解所有命令的潜在影响。

默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许，默认情况下 但流入的应答被拒绝。

INBOUND ICMP可以允许带有 管道语句或 访问列 表语句，您在PIX使用。 请勿 混合输送管道和访问控制列表。 由所有设备超出允许设备的 ICMP 10.1.1.5里面(静态到200.1.1.5)：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo
access-group 101 in interface outside

对出局ICMP的回应可以允许带有 管道语句或 访问列表语句，您在PIX使用。 请勿混合输送 管道和访问控制列表。 允许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5)从所有设备外面：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo-reply
access-list 101 permit icmp any host 200.1.1.5 source-quench
access-list 101 permit icmp any host 200.1.1.5 unreachable
access-list 101 permit icmp any host 200.1.1.5 time-exceeded
access-group 101 in interface outside

默认情况下 INBOUND ICMP通过PIX被拒绝; 出局ICMP允许，默认情况下 但流入的应答被拒绝。

INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5)：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

对出局ICMP的回应可以允许带有管道语句。允 许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5) 从所有设备外面：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

默认情况下INBOUND ICMP通过PIX被 拒绝; 默认情况下出局ICMP允许。

INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5)：
static (inside), outside) 200.1.1.5 10.1.1.5
conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0
!--- 8 is for echo request; these are from RFC 792.
!--- See ICMP Message Types (RFC 792).

默认情况下出局ICMP和回应允许。

在PIX软件版本4.1(6)直 到5.2.1，ICMP 数据流对PIX的自有接口允许; 不可能配置 PIX 不回应。您不会能ping接口在"更边"的PIX 在任何版本 。在我们的网络图，您能到ping 10.1.1.1从10.1.1.5或 200.1.1.1从外面，但您不会能连接200.1.1.1从10.1.1.5，亦不您 能到ping 10.1.1.1 ，从外面。默认情况下开始在PIX软件版 本5.2.1，ICMP仍然允许，但PIX ping响应从其自有接口可以用icmp 命令 (即"stealth PIX"禁用)：

icmp许可证|deny [ host ] src_addr [ src_mask ][ type ] int_name

例 如，下列防止我们的PIX发送ECHO回复以回应ECHO请求：

icmp拒绝所有响应外面

照同访问控制列表，在没有 许可证 语句时，有一 含蓄的也拒绝其他ICMP数据流。

此 命令允许ping从网络立即外面PIX：

icmp许可证200.1.1.0 255.255.255.0响应外面

照同访问控制列表，在没有 许可证 语句时，有一 含蓄的也拒绝其他ICMP数据流。