キャンセル
次の結果を表示 
次の代わりに検索 
もしかして: 

ASA で ICMP Inspection の正しい適用方法

ASA で ICMP Inspection は、Inpsection の対象となったパケットを ICMP パケットと見なして検査します。そのため、下記のように ICMP プロトコル以外の通信を ICMP Inspection の対象に設定してしまいますと、それらのパケットが間違ってドロップされることになります。


class-map ANY
match any
policy-map global_policy
class ANY
  inspect icmp

例えば、下記は上記の設定によって Telnet トラフィックが間違ってドロップされた場合に出力する Syslog となります。

%ASA-4-313004: Denied ICMP type=0, from laddr 192.168.1.1 on  interface inside to 192.168.2.1: no matching session
%ASA-6-302014: Teardown TCP connection 24 for outside:192.168.2.1/23  to inside:192.168.1.1/34573 duration 0:00:00 bytes 0 Flow closed by  inspection

ASA で ICMP Inspection の正しい適用方法は以下のどちらかとなります。

設定例1)
デフォルトの class inspection_default に適用する。

policy-map global_policy
class inspection_default
  inspect icmp


設定例2)
ACL を使って ICMP トラフィックに限定して有効にする。

access-list ICMP extended permit icmp any any
!
class-map ICMP
match access-list ICMP
!
policy-map global_policy
class ICMP
  inspect icmp
バージョン履歴
改訂番号
1/1
最終更新:
‎07-16-2010 02:41 PM
更新者:
 
ラベル(1)