Pix515e icmp

[sguru 10]

Hallo!

 

Ich möchte gerne aus meinen Intranet pings ins Internet absetzen. Leider ist das nicht möglich (Request timed out).

 

Syslog ausgabe der PIX:

 

3 Jan 18 2010 10:14:47 313001 externeIP Denied ICMP type=0, code=0 from externeIP on interface outside

 

4 Jan 18 2010 10:14:47 313004 Denied ICMP type=0, from laddr externeIP on interface outside to outsideEth: no matching session

 

Da ich für ICMP eine Security Policy angelegt habe sollte der ping eigenlich möglich sein. Kann mir jemand anhand der zwei Syslog zeilen einen Tip geben?

 

THX

[Otaku19 33]

Echo reply wird da geblockt, inspect icmp evtl nicht eingeschaltet ? policy nicht gebunden ?

it welchem OS läuft die Box denn und wie lauten die relevanten configteile ?

[sguru 10]

Danke Otaku19!

Es war ein nicht aktiviertes "inspect icmp".

 

:)

[sguru 10]

Auf einer zweiten PIX habe ich auch "inspect icmp" nicht aktiviert. Jedoch funktioniert hier der ping.

Gibt es mehrere Wege den ping durchzulassen? Da es ja eine SPI FW ist müsste ja "inspect icmp" aktiv sein, um ein Echo reply durchzulassen?

PIX v.7.2

[Whistleblower 45]

ICMP-Replies können auch über ACLs zugelassen sein, evtl. auch in irgendeiner Service-Gruppe versteckt...

[Otaku19 33]

jo, so haben wir das gelöst, wir lassen überall echo und replay druch, sonst kein icmp. sollte die ASA/Pix wengier perfomance kosten als über inspects zu arbeiten, afaik ist icmp in der default config auch nicht drin bei den inspects