Por razões de segurança, o ASA/PIX não aparece quando fazemos um tracert (ou traceroute). Ele fica “invisível” para este tipo de tráfego deixando o pacote passar sem decrementar o TTL.
Exemplo: Com a configuração padrão o usuário não consegue ver o ASA como um dos “hops”.
C:\>tracert 200.221.11.100
Rastreando a rota para brahms.uol.com.br [200.221.11.100] com no máximo 30 saltos:
1 1 ms <1 ms <1 ms 200.1.1.1 <—- O roteador é o primeiro “hop”
2 * * * Esgotado o tempo limite do pedido.
3 * * * Esgotado o tempo limite do pedido.
4 * 27 ms 28 ms 201.0.5.121
5 60 ms 57 ms 59 ms 201.63.253.154
6 84 ms 121 ms 152 ms 201.63.253.182
7 27 ms 47 ms 60 ms 189.109.69.74] 8 28 ms 26 ms 28 ms 200.221.136.102
9 26 ms 25 ms 26 ms brahms.uol.com.br [200.221.11.100]Rastreamento concluído.
C:\>
Apesar deste ser o comportamento padrão do firewall, muitas vezes precisamos que todos os “hops” do caminho sejam identificados. Para isso é necessário configurar o ASA/PIX para que ele passe a decrementar o TTL, e assim ser identificado no tracert.
Nas versões mais recentes (a partir da versão 8.0 (3)) basta entrar no policy-map padrão, depois na class-default e colocar o comando set connection decrement-ttl.
Configuração: Decrementando TTL no tráfego layer 3 que passa pelo ASA/PIX.
BrainFW01# conf t
BrainFW01(config)# policy-map global_policy
BrainFW01(config-pmap)# class class-default
BrainFW01(config-pmap-c)# set connection decrement-ttl
BrainFW01(config-pmap-c)# end
BrainFW01#Com a configuração acima o ASA/PIX começará a “aparecer” no tracert.
C:\>tracert 200.221.11.100
Rastreando a rota para brahms.uol.com.br [200.221.11.100] com no máximo 30 saltos:
1 1 ms <1 ms <1 ms 200.1.1.2 <—- IP da outside do ASA
2 <1 ms * <1 ms 200.1.1.1
3 * * * Esgotado o tempo limite do pedido.
4 * * * Esgotado o tempo limite do pedido.
5 * 28 ms 28 ms 201.0.5.121
6 60 ms 57 ms 59 ms 201.63.253.154
7 84 ms 101 ms 152 ms 201.63.253.182
8 27 ms 101 ms 27 ms 189.109.69.74] 9 28 ms 26 ms 28 ms 200.221.136.102
10 26 ms 25 ms 26 ms brahms.uol.com.br [200.221.11.100]Rastreamento concluído.
C:\>
Além desta configuração, para que o ASA/PIX aceite o tracert, é preciso liberar o ICMP nas access-lists aplicadas nas interfaces outside e inside (caso exista uma).
Mais detalhes neste link, e até a próxima.
Olá.
Obrigado pelo post…
Eu estou com um cenário onde eu consigo pingar para alguns destinos externos porém para outros nao.. por exemplo pingo para um link 189.20…. e para o 200.185 nao consigo.
Qual a verificação nesse caso?
tks!!!!
Olá Alex,
precisa ver os logs. Olhe na aba Monitoring > Logging do ASDM.