sguru 10 Posted January 18, 2010 Report Share Posted January 18, 2010 Hallo! Ich möchte gerne aus meinen Intranet pings ins Internet absetzen. Leider ist das nicht möglich (Request timed out). Syslog ausgabe der PIX: 3 Jan 18 2010 10:14:47 313001 externeIP Denied ICMP type=0, code=0 from externeIP on interface outside 4 Jan 18 2010 10:14:47 313004 Denied ICMP type=0, from laddr externeIP on interface outside to outsideEth: no matching session Da ich für ICMP eine Security Policy angelegt habe sollte der ping eigenlich möglich sein. Kann mir jemand anhand der zwei Syslog zeilen einen Tip geben? THX Quote Link to comment
Otaku19 33 Posted January 18, 2010 Report Share Posted January 18, 2010 Echo reply wird da geblockt, inspect icmp evtl nicht eingeschaltet ? policy nicht gebunden ? it welchem OS läuft die Box denn und wie lauten die relevanten configteile ? Quote Link to comment
sguru 10 Posted January 18, 2010 Author Report Share Posted January 18, 2010 Danke Otaku19! Es war ein nicht aktiviertes "inspect icmp". :) Quote Link to comment
sguru 10 Posted January 18, 2010 Author Report Share Posted January 18, 2010 Auf einer zweiten PIX habe ich auch "inspect icmp" nicht aktiviert. Jedoch funktioniert hier der ping. Gibt es mehrere Wege den ping durchzulassen? Da es ja eine SPI FW ist müsste ja "inspect icmp" aktiv sein, um ein Echo reply durchzulassen? PIX v.7.2 Quote Link to comment
Whistleblower 45 Posted January 18, 2010 Report Share Posted January 18, 2010 ICMP-Replies können auch über ACLs zugelassen sein, evtl. auch in irgendeiner Service-Gruppe versteckt... Quote Link to comment
Otaku19 33 Posted January 18, 2010 Report Share Posted January 18, 2010 jo, so haben wir das gelöst, wir lassen überall echo und replay druch, sonst kein icmp. sollte die ASA/Pix wengier perfomance kosten als über inspects zu arbeiten, afaik ist icmp in der default config auch nicht drin bei den inspects Quote Link to comment
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.