PIX lässt keine "Traceroute" durch!

[kroliczko 10]

von einem PC hinter einer PIX515 läßt sich kein "Traceroute" anzeigen!!

Mus man etwas bestimtes an der Firewall ändern damit es nun geht oder hat die Firewall überhaupt nichts damitzu tun?

 

 

Danke & Grüße

[Wordo 11]

Es wird halt wohl gesperrt sein ...

[kroliczko 10]

Danke für deine Antwort.

Ich hab aber von einem anderem PC hinter einer anderen PIX ausprobiert und es funktioniert!!

 

Muss "traceroute" extra freigeschaltet? falls ja wie?

[Wordo 11]

Vergleich doch einfach beide Konfigurationen. Deine Infos sind leider etwas spaerlich ..

[mturba 10]

Hi,

 

damit Traceroute durch eine PIX funktioniert, müssen in der Outside-ACL ICMP time-exceeded und unreachables erlaubt werden. (Warum das immer noch nicht per inspect funktioniert, weiß ich auch nicht... mit der IOS-Firewall geht's...)

 

Gruß,

Martin

[rob_67 10]

Hi,

 

 

es gibt auch udp traces, insbesondere von Unix Kisten... Da reicht die icmp Freischaltung nicht. Ansonsten checken ob der echo request erlaubt ist bzw. nur bestimmte icmp Pakete... Ein Blick in das FW logfile ist immer hilfreich, falls man denn loggt...

 

Gruss

 

Rob

[kroliczko 10]

@mturba:

wie kann ich das bitte konfigurieren? könntest du mit bitte die commands dazu als Konfigbeispiel posten!

 

Danke!

[mturba 10]

Ja, z.B. so:

 

access-list acl_outside extended permit icmp any any time-exceeded

access-list acl_outside extended permit icmp any any unreachable

 

Den Namen "acl_outside" musst du natürlich entsprechend ersetzen...

 

 

Gruß,

Martin

[kroliczko 10]

hat's leider nichts gebracht :-(

weiterhin kein "traceroute" von keinem Client möglich!

woran liegt's sonst?

[hegl 10]

hat's leider nichts gebracht :-(

weiterhin kein "traceroute" von keinem Client möglich!

woran liegt's sonst?

 

stell mal deine config ein und es wird leichter sein, zu antworten.

[kroliczko 10]

hier ist mein config:

 

hostname PIX515# sho run

: Saved

:

PIX Version 7.0(1)

names

!

interface Ethernet0

description *** outside ***

speed 100

duplex full

nameif outside

security-level 0

ip address xxx.xxx.xxx.xxx

!

interface Ethernet1

description *** inside ***

speed 100

duplex full

nameif inside

security-level 100

ip address 192.168.1.1 255.255.255.252

!

enable password ************ encrypted

passwd ********** encrypted

hostname PIX515

domain-name default.domain.invalid

ftp mode passive

access-list inside extended permit icmp any any

access-list inside extended permit tcp any any eq http

access-list inside extended permit udp any any eq domain

access-list inside extended permit ip any host x.x.x.x

access-list inside extended permit ip 192.168.1.0 255.255.255.0 host xxx.xxx.xxx.xxx

access-list inside extended permit ip 10.0.0.0 255.255.255.0 host xxx.xxx.xxx.xxx

access-list outside extended permit ip host xxx.xxx.xxx.xxx any

access-list outside extended permit tcp any any eq ssh

access-list outside extended permit icmp any any

access-list outside extended permit icmp any any time-exceeded

access-list outside extended permit icmp any any unreachable

 

pager lines 24

logging enable

logging buffered debugging

logging trap debugging

logging asdm informational

logging host inside 192.168.1.254

mtu outside 1500

mtu inside 1500

no failover

monitor-interface outside

monitor-interface inside

icmp permit any outside

icmp permit any inside

asdm image flash:/asdm

asdm history enable

arp timeout 14400

global (outside) 1 interface

nat (inside) 1 0.0.0.0 0.0.0.0

access-group outside in interface outside

access-group inside in interface inside

route outside 0.0.0.0 0.0.0.0 xxx.xxx.xxx.xxx 1

route inside 192.168.192.0 255.255.255.0 192.168.1.2 1

route inside 10.0.0.0 255.240.0.0 192.168.1.2 1

timeout xlate 3:00:00

timeout conn 1:00:00 half-closed 0:10:00 udp 0:02:00 icmp 0:00:02

timeout sunrpc 0:10:00 h323 0:05:00 h225 1:00:00 mgcp 0:05:00

timeout mgcp-pat 0:05:00 sip 0:30:00 sip_media 0:02:00

timeout uauth 0:05:00 absolute

group-policy nlgroup internal

group-policy nlgroup attributes

vpn-idle-timeout 30

username ******** password ********** encrypted privilege 15

aaa authentication ssh console LOCAL

http server enable

no snmp-server location

no snmp-server contact

snmp-server enable traps snmp

telnet 192.168.1.0 255.255.255.0 outside

telnet 10.0.0.0 255.255.255.0 inside

telnet timeout 5

ssh xxx.xxx.xxx.xxx 0.0.0.0 outside

ssh timeout 60

console timeout 0

tunnel-group DefaultL2LGroup type ipsec-l2l

tunnel-group DefaultL2LGroup ipsec-attributes

isakmp keepalive threshold 60 retry 5

tunnel-group DefaultRAGroup type ipsec-ra

tunnel-group DefaultRAGroup ipsec-attributes

isakmp keepalive threshold 60 retry 5

 

!

class-map inspection_default

match default-inspection-traffic

!

!

policy-map global_policy

class inspection_default

inspect dns maximum-length 512

inspect ftp

inspect h323 h225

inspect h323 ras

inspect netbios

inspect rsh

inspect rtsp

inspect skinny

inspect esmtp

inspect sqlnet

inspect sunrpc

inspect tftp

inspect sip

inspect xdmcp

inspect icmp

inspect http

!

service-policy global_policy global

 

Cryptochecksum:d7f96d01c525ce6Z3V86cc88e01d419d20b

 

 

 

hoffentlich kann man mir nun helfen!

 

Gruss

[hegl 10]

Nimm mal das inspect icmp aus der policy-map!

[kroliczko 10]

habe ich rausgenommen aber es geht immer noch nicht!

[hegl 10]

Kannst Du überhaupt das inside interface anpingen?

Was sagt debug icmp trace ?

Was sagt das logging?