---

Nedenfor har jeg indklippet lidt relevant konfig for ASAen, samt lidt fra
sysloggen

Mit problem er at jeg ikke kan traceroute og pinge fra min pc - eller
rettere jeg kan godt sende ICMP ud men svarene får ikke lov til at komme
tilbage til mig gennem ASAen.
Jeg kan godt få lov til at kontakte en hjemmeside og den får også lov til
at kontakte mig tilbage igen - så "normal" websidetraffik er altså ok.
Det undrer mig at HTTP kan slippe ind når ICMP ikke kan... jeg mindes ikke
at ICMP opfører sig ligeså "dumt" som (ikke-passiv) FTP f.eks.

Vi har to interfaces - et inside og et outside.

---- indklip konfig start ----
object-group service client-internet tcp
description Clientaccess to Internet
port-object eq imap4
port-object eq telnet
port-object eq citrix-ica
port-object eq domain
port-object eq ssh
port-object eq ftp-data
port-object eq pop3
port-object eq www
port-object eq https
port-object eq ftp
port-object range 1433 1433
port-object range 3389 3389
object-group service client-internet-udp udp
port-object eq domain

access-list Outside_access_in extended permit tcp any host "mailserver X"
eq smtp
access-list Outside_access_in extended permit icmp any host "mailserver X"
access-list Outside_access_in extended deny ip any any

access-list Inside_access_in extended permit tcp host "mailserver X" any
eq smtp
access-list Inside_access_in extended permit udp "hele LANet" any
object-group client-internet-udp
access-list Inside_access_in extended permit tcp "hele LANet" any
object-group client-internet
access-list Inside_access_in extended permit icmp "hele LANet" any
access-list Inside_access_in extended deny tcp "hele LANet" any eq smtp
access-list Inside_access_in extended permit ip "hele LANet" any
access-list Inside_access_in extended deny ip any any

class-map inspection_default
match default-inspection-traffic

policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect rsh
inspect rtsp
inspect sip
inspect skinny
inspect esmtp
inspect sqlnet
inspect tftp
---- indklip konfig slut ----

(Ideen med linien: 'access-list Inside_access_in extended permit ip "hele
LANet" any' er at den skal fjernes når der er mere styr på hvilke ting man
må kunne i huset.)

---- indklip syslog start ----
11:13:49 Info %ASA-6-302020: Built ICMP connection for faddr
"pingIPadresse"/0 gaddr "LAN-NAT-IPadr"/4 laddr "min PC IP-adr"/512
11:13:49 Warning %ASA-4-106023: Deny icmp src Outside:"pingIPadresse" dst
Inside:"LAN-NAT-IPadr" (type 0, code 0) by access-group
"Outside_access_in"
11:13:51 Info %ASA-6-302021: Teardown ICMP connection for faddr
"pingIPadresse"/0 gaddr "LAN-NAT-IPadr"/4 laddr "min PC IP-adr"/512
---- indklip syslog slut ----

Hvad går der galt?
Og hvis svaret er at jeg eksplicit skal lave en: 'access-list
Outside_access_in extended permit icmp any host "min IP-adr"', hvorfor
skal jeg så ikke lave en lignende eksplicit regel for HTTP-traffik også?

/Jens Ulrik

---

On Thu, 11 Jan 2007 12:21:32 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
wrote:

> Mit problem er at jeg ikke kan traceroute og pinge fra min pc - eller
> rettere jeg kan godt sende ICMP ud men svarene får ikke lov til at komme
> tilbage til mig gennem ASAen.

Du kan bruge Packet Tracer til at se, hvorfor dine ping ikke kommer
igennem. Den checker hele vejen fra ACL over flow- og route-lookup,
inspection, NAT, og det hele i omvendt rækkefølge på næste interface.

Du kan finde Packet Tracer som en ikon i ASDM eller som packet-tracer
på en kommandolinje.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

og den kan da vist endda også bruges fra CLI

/Brian

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:qmfcq21mqul7nugs5rqgtqckfqtc70v7cr@hojmark.net...
> On Thu, 11 Jan 2007 12:21:32 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
> wrote:
>
>> Mit problem er at jeg ikke kan traceroute og pinge fra min pc - eller
>> rettere jeg kan godt sende ICMP ud men svarene får ikke lov til at komme
>> tilbage til mig gennem ASAen.
>
> Du kan bruge Packet Tracer til at se, hvorfor dine ping ikke kommer
> igennem. Den checker hele vejen fra ACL over flow- og route-lookup,
> inspection, NAT, og det hele i omvendt rækkefølge på næste interface.
>
> Du kan finde Packet Tracer som en ikon i ASDM eller som packet-tracer
> på en kommandolinje.
>
> -A
> --
> Hvis bruger et anti-spam program, der spammer os andre i hvert
> eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

On Thu, 11 Jan 2007 21:11:54 +0100, "Brian" <3487394.328743@smarte.dk>
wrote:

>> Du kan finde Packet Tracer som en ikon i ASDM eller som packet-tracer
>> på en kommandolinje.

> og den kan da vist endda også bruges fra CLI

Ja, CLI betyder jo kommandolinje-interface...

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Sorry... jeg læste kun lige ASDM og ikke resten af sætningen..

/Brian


"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:vggdq21thhiki78hnhg3it3j16dpfaran7@hojmark.net...
> On Thu, 11 Jan 2007 21:11:54 +0100, "Brian" <3487394.328743@smarte.dk>
> wrote:
>
>>> Du kan finde Packet Tracer som en ikon i ASDM eller som packet-tracer
>>> på en kommandolinje.
>
>> og den kan da vist endda også bruges fra CLI
>
> Ja, CLI betyder jo kommandolinje-interface...
>
> -A
> --
> Hvis bruger et anti-spam program, der spammer os andre i hvert
> eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:qmfcq21mqul7nugs5rqgtqckfqtc70v7cr@hojmark.net...
> On Thu, 11 Jan 2007 12:21:32 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
> wrote:
>
"klip"
>
> Du kan bruge Packet Tracer til at se, hvorfor dine ping ikke kommer
> igennem. Den checker hele vejen fra ACL over flow- og route-lookup,
> inspection, NAT, og det hele i omvendt rækkefølge på næste interface.
>
> Du kan finde Packet Tracer som en ikon i ASDM eller som packet-tracer
> på en kommandolinje.
>
> -A
> --
> Hvis bruger et anti-spam program, der spammer os andre i hvert
> eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

Mener kun den kommando er understøttet i/fra 7.2x OS

mvh

Martin Damberg

---

On Thu, 11 Jan 2007 23:08:29 +0100, "Martin Damberg"
<martin-damberg@atfjernevejen-net.dk> wrote:

>> Du kan finde Packet Tracer som en ikon i ASDM eller som packet-tracer
>> på en kommandolinje.

> Mener kun den kommando er understøttet i/fra 7.2x OS

Det er rigtigt, det er en 7.2 new feature, at den er i CLI.

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

On Thu, 11 Jan 2007 12:21:32 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
wrote:

>Og hvis svaret er at jeg eksplicit skal lave en: 'access-list
>Outside_access_in extended permit icmp any host "min IP-adr"', hvorfor
>skal jeg så ikke lave en lignende eksplicit regel for HTTP-traffik også?

Du kan enten gøre sådan, eller tilføje inspect icmp til dit
policy-map.

Grunden er her:
http://www.cisco.com/en/US/products/ps6120/products_command_reference_chapter09186a00806417fc.html#wp1440662

Usage Guidelines
[...]
For TCP and UDP connections, you do not need an access list to allow
returning traffic, because the FWSM allows all returning traffic for
established, bidirectional connections. For connectionless protocols
such as ICMP, however, the security appliance establishes
unidirectional sessions, so you either need access lists to allow ICMP
in both directions (by applying access lists to the source and
destination interfaces), or you need to enable the ICMP inspection
engine. The ICMP inspection engine treats ICMP sessions as
bidirectional connections.



/Jarlskov

---

"Lasse Jarlskov" <lasse@jarlskov.dk> wrote in message
news:fb3fq2dosuliv7bb8r0eif7gch33gv4abt@4ax.com...
> On Thu, 11 Jan 2007 12:21:32 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
> wrote:
>
>>Og hvis svaret er at jeg eksplicit skal lave en: 'access-list
>>Outside_access_in extended permit icmp any host "min IP-adr"', hvorfor
>>skal jeg så ikke lave en lignende eksplicit regel for HTTP-traffik også?

Nu kan jeg selv svare, det er fordi ICMP er connectionless.

> Du kan enten gøre sådan, eller tilføje inspect icmp til dit
> policy-map.

Ja, Ping virker umiddelbart efter rettelser, men traceroute (tracert fra
WinXP uden windowsfirewall akiveret) virker pudsigt nok ikke. Nogen der
har samme erfaring... er det et generelt problem at firewalls ikke rigtig
kan håndtere traceroute (som jo er en slags hack af ping... den sender jo
i praksis bare pingpakker med stigende TTL)...

PS: Det er en Cisco ASA5510 med 7.0.6.

/Jens Ulrik

---

Jens U. K. wrote:
....
> Ja, Ping virker umiddelbart efter rettelser, men traceroute (tracert fra
> WinXP uden windowsfirewall akiveret) virker pudsigt nok ikke. Nogen der
> har samme erfaring... er det et generelt problem at firewalls ikke
> rigtig kan håndtere traceroute (som jo er en slags hack af ping... den
> sender jo i praksis bare pingpakker med stigende TTL)...

Hvis jeg skal lave en traceroute fra en Redhat 9 Linux ud igennem
vores router skal jeg bruge "traceroute -I" for at komme ud.

Ifølge manualen betyder -I at den bruger "ICMP ECHO" i stedet
for UDP datagrams.

Så der er åbenbart flere måder at lave traceroute på.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

On Fri, 26 Jan 2007 12:00:33 +0100, Mogens Kjaer <mk@crc.dk> wrote:

> Så der er åbenbart flere måder at lave traceroute på.

Ja, Unix har traditionelt gjort det med UDP og Windows bruger ICMP.

I dag (med (alt for) meget filtrering rundt omkring) giver det dog
bedre mening at bruge TCP: Hvis man forventer at få svar på fx port 25
fra en server, så skal der jo være åbent for det hele vejen.

Se http://michael.toren.net/code/tcptraceroute/

-A
--
Hvis du bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

Asbjorn Hojmark wrote:
....
> Ja, Unix har traditionelt gjort det med UDP og Windows bruger ICMP.
>
> I dag (med (alt for) meget filtrering rundt omkring) giver det dog
> bedre mening at bruge TCP: Hvis man forventer at få svar på fx port 25
> fra en server, så skal der jo være åbent for det hele vejen.
>
> Se http://michael.toren.net/code/tcptraceroute/

Tak, den er god at have.

Mogens

--
Mogens Kjaer, Carlsberg A/S, Computer Department
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@crc.dk Homepage: http://www.crc.dk

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:m4gnr2h7phmrociainkabaap3gp1ao8qr7@hojmark.net...
> On Fri, 26 Jan 2007 12:00:33 +0100, Mogens Kjaer <mk@crc.dk> wrote:
>
>> Så der er åbenbart flere måder at lave traceroute på.
>
> Ja, Unix har traditionelt gjort det med UDP og Windows bruger ICMP.
>
> I dag (med (alt for) meget filtrering rundt omkring) giver det dog
> bedre mening at bruge TCP: Hvis man forventer at få svar på fx port 25
> fra en server, så skal der jo være åbent for det hele vejen.
>
> Se http://michael.toren.net/code/tcptraceroute/

Det ser da lidt interessant ud, men jeg synes stadig det er mærkeligt at
ASA'en ikke kan håndtere ICMP.

Kan det virkelig passe at en Cisco Asa5510 ikke kan finde ud af at
håndtere ICMP traffik... dokumentationen (og andre her i gruppen) siger...
slå "inspect icmp" til og så burde det være muligt at få ping-svar retur.
Det virker såmænd også, men hvis jeg f.eks. sender et ping med en TTL på 5
(og jeg ved det kræver mindst 10), så virker det ikke - firewallen stopper
simpelthen ICMP-svaret når det er på vej tilbage.... med andre ord - en
traceroute på windows (altså ICMP) giver timeout på hele ruten pånær
destinationens svar (forudsat de ikke filtrerer ICMP væk).
Der er også en linie i config'en der hedder "inspect icmp error" - men den
hjælper åbenbart heller ikke rigtigt på problemet.

I manualen anbefaler Cisco godt nok at man åbner for ICMP/3 (destination
unreachable, tror jeg nok) - men det er ICMP/11 ASA'en spærrer for ifm TTL
overskredet...

/Jens Ulrik

---

Jens U. K. <1jk2@3bsopatent4.dk> skrev 2007-01-29:
> Det ser da lidt interessant ud, men jeg synes stadig det er mærkeligt at
> ASA'en ikke kan håndtere ICMP.
Ja, jeg ved ikke om det på nogen måde er relateret men prøv og kigge
her:
http://www.adsltips.dk/ping-problemer.php


--
Besøg http://linux.adsltips.dk hvor du finder
guides til linux på dansk.
Alt jeg skriver på usenet er mine egne personlige meninger
med mindre andet er angivet.

---

On Mon, 29 Jan 2007 10:47:23 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
wrote:

> Kan det virkelig passe at en Cisco Asa5510 ikke kan finde ud af at
> håndtere ICMP traffik...

Nej, det har altid virket for mig. Prøv at sende dine access-lister.

> Det virker såmænd også, men hvis jeg f.eks. sender et ping med en TTL
> på 5 (og jeg ved det kræver mindst 10), så virker det ikke - firewallen
> stopper simpelthen ICMP-svaret når det er på vej tilbage...

Hvis du sender et ping (ICMP Echo Request) med en TTL der er for lav,
vil du ude fra verden få ICMP Unreachable tilbage i stedet for ICMP
ECHO Reply. Hvis det skal give noget, skal der jo være åbent for ICMP
Unreachable. Har du gjort det?

-A
--
Hvis bruger et anti-spam program, der spammer os andre i hvert
eneste indlæg, ser jeg ikke dine indlæg. Jeg filtrerer dem bort.

---

"Asbjorn Hojmark" <Asbjorn@Hojmark.ORG> wrote in message
news:rumrr2lvmsdr0qr4bgb3ti1ild1klve9jk@hojmark.net...
> On Mon, 29 Jan 2007 10:47:23 +0100, "Jens U. K." <1jk2@3bsopatent4.dk>
> wrote:
>
>> Kan det virkelig passe at en Cisco Asa5510 ikke kan finde ud af at
>> håndtere ICMP traffik...
>
> Nej, det har altid virket for mig. Prøv at sende dine access-lister.
>

Ok. Her kommer det jeg tror er relevant:
---- access-list start ----
object-group service client-internet tcp
description Clientaccess to Internet
port-object eq imap4
port-object eq telnet
port-object eq citrix-ica
port-object eq domain
port-object eq ssh
port-object eq ftp-data
port-object eq pop3
port-object eq www
port-object eq https
port-object eq ftp
port-object range 1433 1433
port-object range 3389 3389
object-group service client-internet-udp udp
port-object eq domain
....Outside_access_in permit til smtp og https...
access-list Outside_access_in extended deny ip any any
access-list Inside_access_in extended permit udp X 255.255.255.0 any
object-group client-internet-udp
access-list Inside_access_in extended permit tcp X 255.255.255.0 any
object-group client-internet
access-list Inside_access_in extended permit icmp X 255.255.255.0 any
access-list Inside_access_in extended deny tcp X 255.255.255.0 any eq smtp
access-list Inside_access_in extended permit ip X 255.255.255.0 any
access-list Inside_access_in extended deny ip any any
access-list Inside_nat0_outbound extended permit ip X 255.255.255.0 Y
255.255.255.128
access-list remoteBSO_splitTunnelAcl standard permit X 255.255.255.0
....
class-map Inspection_default
class-map icmp-class
match default-inspection-traffic
class-map inspection_default
match default-inspection-traffic
!
!
policy-map global_policy
class inspection_default
inspect dns maximum-length 512
inspect ftp
inspect h323 h225
inspect h323 ras
inspect http
inspect rsh
inspect rtsp
inspect sip
inspect skinny
inspect esmtp
inspect sqlnet
inspect tftp
inspect icmp error
inspect icmp
policy-map icmp_class
class icmp-class
!
service-policy global_policy global

---- access-list slut ----

>> Det virker såmænd også, men hvis jeg f.eks. sender et ping med en TTL
>> på 5 (og jeg ved det kræver mindst 10), så virker det ikke - firewallen
>> stopper simpelthen ICMP-svaret når det er på vej tilbage...
>
> Hvis du sender et ping (ICMP Echo Request) med en TTL der er for lav,
> vil du ude fra verden få ICMP Unreachable tilbage i stedet for ICMP
> ECHO Reply.

Ja.

> Hvis det skal give noget, skal der jo være åbent for ICMP
> Unreachable. Har du gjort det?

Jeg troede at "inspect icmp" og "inspect icmp error" sørgede for at
håndtere den slags ting.
Ideen er jo at der ikke konstant skal være åbent indad for ICMP, men kun
når en pc indefra har sendt en ICMP-forespørgsel ud.
Så svaret, som nok også kan læses af accesslisten indklippet ovenfor, må
være nej.

Du siger den eneste måde at få ICMP til at "virke" på er ved at tillade
indadgående traffik til minimum ICMP unreachable.

/Jens Ulrik