Usualmente, costumamos usar todos os meios para tornarmos os firewalls o mais transparentes possível em uma rede, por questões óbvias de segurança.
Entretanto, de tempo em tempo recebemos perguntas como essa:
“Como fazer meu CISCO ASA/PIX aparecer em um traceroute?”
A configuração padrão de um firewall CISCO (ASA/PIX) não decrementa o TTL dos pacotes L3 que trafegam pelo mesmo. Mesmo se estes estão configurados como um “hop” extra na rede. Isto é como um roteador.
Para tanto, é necessária seguinte configuração:
*Nota: PIX/ASA versão de software acima de 7.x
policy-map global_policy
class class-default
set connection decrement-ttl
É necessário, também, a criação de uma access-list (ACL) permitindo o retorno de pacotes ICMP tipo 11 (time-exceded) e tipo 3 código 3 (unreachables)
access-list OUTSIDE_IN extended permit icmp any any time-exceeded
access-list OUTSIDE_IN extended permit icmp any any unreachable
access-group OUTSIDE_IN in interface outside
| Esta imagem foi redimensionada. Clique na barra para ver a imagem em tamanho real. O tamanho da imagem original é 654×87. |
Antes do mudança:
r1#traceroute 136.1.22.22
Type escape sequence to abort.
Tracing the route to 136.1.22.22
1 136.1.122.2 356 msec 296 msec 96 msec
2 136.1.22.22 192 msec * 248 msec
Após a mudança:
r1#traceroute 136.1.22.22
Type escape sequence to abort.
Tracing the route to 136.1.22.22
1 136.1.122.12 36 msec 100 msec 96 msec
2 136.1.122.2 72 msec 132 msec 208 msec
3 136.1.22.22 124 msec * 80 msec