กาลครั้งหนึ่งนานมาแล้ว ทางลูกค้าถามทางผมมาว่า "ทำไม ping ตัว Firewall ASA แล้วมันไม่มี icmp reply ตอบกลับมาเลย" สงสัย configure ผิดหรือเปล่า หรือว่า Interface ของ ASA เดี๊ยงไปแล้ว ... ผมก็เลยเสนอแนะไปว่า ให้ลอง show interface เล่นๆ ดู หรือเข้าไปดูผ่าน ASDM ถ้ามันยัง up อยู่ก็ตัดประเด็น hardware เสียไปได้เลย
ผลปรากฏว่ามันก็ยัง up อยู่เหมือนเดิม แถมยังเล่นอินเทอร์เน็ตได้ปกติ เร็วปรื๊ดดดดดดด .... ผมเลยจัดการเฉลยทางลูกค้าไปตรงๆ ดีกว่าว่า ปกติ Firewall ด้าน traffic inbound มันจะปิด icmp protocol ไว้ ส่วน outbound นั้นโดย default แล้วจะอนุญาตให้ icmp protocol เข้ามาได้แต่จะ deny reply เอาไว้ พูดภาษาชาวบ้านก็คือไม่ให้ตอบ icmp reply กลับไปนั่นเอง (มาถึงถูก แต่กลับไม่ถูก) โดย default เป็นแบบนี้ก็เนื่องจากเหตุผลเรื่อง Security นี่แหละครับ ดังนั้นหากจะ troubleshooting โดยการ ping ไปที่ขา interface inside หรือ outside ต้องมีการเปิด (permit) อนุญาติให้ icmp message ตอบกลับมาได้นั่นเอง
Note inbound คือ ผั่งที่ traffic วิ่งจาก security-level ต่ำไปสูง หมายความว่า traffic จะวิ่งเข้ามายัง inside network และรวมไปถึง traffic ที่วิ่งมายัง DMZ Zone ด้วย
outbound คือ ฝั่งที่ traffic วิ่งจาก security-level สูงไปต่ำ หมายความว่า traffic จะวิ่งจากข้างใน ออกไปยัง outside network
วิธีการทำก็ไม่ยากเลยครับ เราสามารถใช้ ASDM ใช้เม้าส์จิ้มๆๆๆ ไม่กี่ครั้งก็เรียบร้อยแล้วครับ ตาม step ด้านล่างนี้นะครับ :)
Configuration > Device Management > add > จากนั้นก็ใส่ icmp type (แนะนำว่าเลือกเป็น any ไปเลยครับ ), ขา interface ที่เราต้องการอยากให้ ping ได้, Action เลือกเป็น permit และกำหนด ip address/subnet mask ซึ่งจะเป็นวงที่เราอนุญาตให้ ping ได้ครับ อย่าลืมกด Apply นะครับ เพื่อ activate ให้ Firewall มันรับคำสั่งไปทำงานได้ .....
Note. ดังนั้นหากใครก็ตาม configure ASA เรียบร้อยแล้ว test ping มาที่ขา interface ของ firewall ไม่เจอ ก็อย่าเพิ่งตกอกตกใจไปนะครับ ไปเปิด icmp message ก็เท่านั้นเองครับ (จริงๆ แล้วก็คือ เปิดให้ Firewall มันไม่เป็นใบ้ ให้มันสามารถตอบกลับมายัง host ที่ ping ออกไปได้)
Note. อีกประการนึงก็คือ ต้องเช็คด้วยว่า Access Rule ของ Firewall เราได้ทำการ permit ip ที่เราอนุญาตให้ ping เจอไว้แล้วด้วยแล้วหรือยัง ??? (Configuration > Firewall > Access Rule) โดยปกติมักจะไม่มีปัญหาในช่วงแรกที่เรา configure Firewall ใหม่ๆ เนื่องจาก โดย Default ฝั่ง inside มักจะเปิด permit ip any any ไว้เรียบร้อยแล้ว
รายละเอียดเพิ่มเติม ซึ่งสามารถใช้ Command Line ได้ เข้าไปดูได้ตาม url ที่ให้มานี้เลยครับhttp://www.cisco.com/en/US/products/hw/vpndevc/ps2030/products_tech_note09186a0080094e8a.shtml http://www.cisco.com/en/US/products/ps6120/products_tech_note09186a0080734db7.shtml
สมัครสมาชิก:
ส่งความคิดเห็น (Atom)
ไม่มีความคิดเห็น:
แสดงความคิดเห็น