发布时间 09-23-2021 05:06 PM
我试图通过 FMC 运行 6.2.3 代码的 FTD2110 获得从内部网络到互联网的跟踪工作路线
我创建了一个访问策略,允许 ICMP 类型 3 和 11 从外部到内部。我在设备的平台设置中添加了 ICMP 许可语句(外部界面上的 3 和 11 添加到任何 ipv4)。
我还添加了 Flex 配置声明, 以减损 Ttl
但这仍然不起作用。这是虫子吗?支持?
已解决! 转到解答。
发布时间 09-23-2021 05:07 PM
以下是 FTD 运行配置中的相关位应该是什么样子:
icmp 允许任何超过时间的<你的外部接口名称> icmp 允许任何无法到达的<你的外部接口名称 >! 策略图 global_policy <狙击> 检查 icmp 错误 类默认 <狙击> 集连接减损 - ttl
你能确认你有吗?
如果是这样,您是否尝试过数据包跟踪器诊断,它显示了什么?
在原帖中查看解决方案
是的。我刚在我的实验室里确认了
Fdm 缩放 Ttl
检查链接
https://www.cisco.com/c/en/us/td/docs/security/firepower/630/configuration/guide/fpmc-config-guide-v63/threat_defense_service_policies.html#id_71096
不幸的是,这也不起作用
GUI 没有正确解释规则 - 当您尝试将 OSPF (89) 添加为端口时,它只会默认为"任何"
但这不是根本问题。我的问题是, Ftd 不会通过跟踪路线交通周期 — — 它正在将 ICMP 放在外部接口上。我甚至不明白 Ttl 问题
(希望我们仍然使用 Asa...)
你看过 packetu.com 的指示吗?保罗 · 斯图尔特在通过必要的配置方面做得很好:
https://packetu.com/2018/08/12/traceroute-through-firepower-threat-defense/
我有它这样的工作, 在几个 Ftd 部署。
是的, 我做到了, 并验证了 Cli 中的配置。一切看起来都是正确的。
事实证明, 访问策略中有另一个规则是更高的, 并导致问题。
你好
这是否支持 FTD 6.5 FDM, 使 Fw 成为追踪路线上的跳动?
谢谢。
发布时间 05-31-2024 04:28 AM
icmp permit any time-exceeded <your outside interface name> icmp permit any unreachable <your outside interface name>
您如何在FDM中启用此功能?找不到?
发布时间 05-31-2024 08:57 AM
在FDM中,可以使用Flexconfig对象和策略执行此操作:
发布时间 07-18-2023 12:22 PM
我注意到您可以通过FMC在“平台设置”下为FTD设置ICMP策略。无论如何,我尝试为外部接口创建拒绝ICMP any的策略,但该策略不起作用。创建flex配置是否是拒绝ICMP的最佳方式,例如Outside接口?
发布时间 07-18-2023 12:39 PM
@CiscoPurpleBelt您仅在配置控制平面ACL时才使用flexconfig。ICMP“to*”到FTD通过平台设置单独控制。通过ACP规则控制FTD的“通过”流量。
发布时间 07-19-2023 05:14 AM
再次感谢。这是我最初尝试的,但在出现错误时从未应用过 — 只需选择IPv4网络作为源。
07-19-2023 10:45 AM - 编辑日期 07-19-2023 11:26 AM
如果我仍要能ping通接口,您仍需要执行允许,因为隐式拒绝应用于这些平台策略是否正确?如果我阻止代码0(甚至尝试了8),然后在其后添加permit any icmp,它不会禁用ping应答,但允许ping输出。
发现并保存您最喜欢的想法。 返回专家解答、分步指南、最新主题等。
社区新手? 从这些帮助提示开始。 如何使用社区 新用户指南
登录社区
浏览社区快速链接并以您的母语获取个性化内容:
