处理ICMP Ping与PIX防火墙(2)

　　INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5)：

　　static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0

　　conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

　　Ping outbound

　　对出局ICMP的回应可以允许带有管道语句。允 许对设备10.1.1.5里面起动的ICMP 请求的回应(静态到200.1.1.5) 从所有设备外面：

　　static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0

　　conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply

　　conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench

　　conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable

　　conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

　　PIX软件版本4.1(6)至4.2(2)

　　默认情况下INBOUND ICMP通过PIX被 拒绝; 默认情况下出局ICMP允许。

　　Ping Inbound

　　INBOUND ICMP可以允许带有管道语句。 由所 有设备超出允许设备的ICMP 10.1.1.5里面(静态到200.1.1.5)：

　　static (inside), outside) 200.1.1.5 10.1.1.5

　　conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0

　　!--- 8 is for echo request; these are from RFC 792.

　　!--- See ICMP Message Types (RFC 792).

　　Ping outbound

　　默认情况下出局ICMP和回应允许。

　　Ping对PIX的自有接口

　　在PIX软件版本4.1(6)直 到5.2.1，ICMP 数据流对PIX的自有接口允许; 不可能配置 PIX 不回应。您不会能ping接口在"更边"的PIX 在任何版本 。在我们的网络图，您能到ping 10.1.1.1从10.1.1.5或 200.1.1.1从外面，但您不会能连接200.1.1.1从10.1.1.5，亦不您 能到ping 10.1.1.1 ，从外面。默认情况下开始在PIX软件版 本5.2.1，ICMP仍然允许，但PIX ping响应从其自有接口可以用icmp 命令 (即"stealth PIX"禁用)：

　　icmp许可证|deny [ host ] src_addr [ src_mask ][ type ] int_name

　　例 如，下列防止我们的PIX发送ECHO回复以回应ECHO请求：

　　icmp拒绝所有响应外面

　　照同访问控制列表，在没有 许可证 语句时，有一 含蓄的也拒绝其他ICMP数据流。

　　此 命令允许ping从网络立即外面PIX：

　　icmp许可证200.1.1.0 255.255.255.0响应外面

　　照同访问控制列表，在没有 许可证 语句时，有一 含蓄的也拒绝其他ICMP数据流。

    ICMP消息类型 (RFC 792)