ASA管理接口可以被tracert不能traceroute

拓扑图如下：

ASA管理接口可以被tracert不能traceroute

=============================================================

问题描述：ASA相连的接口可以被 windows系统下tracert ，但是不能被交换机上的traceroute命令。我想实现的是，ASA接口可以能被交换机和路由器traceroute到的，感谢大家帮忙，谢谢。

测试结果：
WINDOWS的tracert:

ASA管理接口可以被tracert不能traceroute

路由器上的traceroute:

ASA管理接口可以被tracert不能traceroute

交换机上的traceroute:

ASA管理接口可以被tracert不能traceroute

后来百度了，tracert和traceroute,前者是直接基于ICMP包的，后者是用UDP ，33434开始的。。
另外百度了ASA关于traceroute,也是关于穿越ASA的时候能被traceroute到地址的，如：

ASA管理接口可以被tracert不能traceroute

可是我没有查到对于到达ASA本身的traceroute流量怎么处理，所以在这里想问一下大家 ，谢谢。

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

happy happy happy happy

ASA默认TTL根本不减，与ICMP还是UDP无关，不会出现的，好好学习traceroute就知道怎么回事了

ackca 发表于 2019-4-25 03:20
ASA默认TTL根本不减，与ICMP还是UDP无关，不会出现的，好好学习traceroute就知道怎么回事了

您好，穿越ASA，TTL减值，我已经知道如何设置了，包括ICMP状态化监控。我现在在测试过程，遇到的是和ASA直连，可以被PC ping 和tracert ，但是不能被交换机和路由器traceroute 。引发这个问题我因为我在客户那遇到，回来用EVE模拟器测试的。（同时我发现和飞塔直连，飞塔可以 execute traceroute x.x.xx  是可以traceroute 到），我的疑惑是，交换机和路由器不能traceroute ASA防火墙，如果有类似经验，非常感谢你的解答，谢谢。

Hi－哈皮 发表于 2019-4-25 15:51
您好，穿越ASA，TTL减值，我已经知道如何设置了，包括ICMP状态化监控。我现在在测试过程，遇到的是和ASA ...

我确实没好好看你的内容，但我说的没问题啊，那就给你解释一下，

对于traceroute，每到一个接点，因为TTL为1，再减就为0了，不会再转发，所以回TTL超时，属于ICMP报文
到最终节点，因为是UDP的数万端口，最终节点几乎不可能在这个端口上的服务，所以回端口不可达，也属于ICMP报文,，两种报文都是icmp报文，但发出的是UDP报文，不能通过防火墙
但微软的tracert用的ping，也就是icmp echo，属于ICMP，监控了自然就回得来

楼上老哥说的对,traceroute是向目的地址的某个端口（大于30000）发送UDP数据报，tracert是向目的地址发出ICMP请求回显数据包。

wx0723wx 发表于 2019-4-28 04:11
楼上老哥说的对,traceroute是向目的地址的某个端口（大于30000）发送UDP数据报，tracert是向目的地址发出IC ...

那没有解决方法吗？ ASA设备上的接口，只能被tracert不能被 traceroute 了吗？（不是traceroute穿越ASA的流量奥，是tracerouteASA本身的口。）我想知道的是ASA上需要配置些什么才可以解决能被traceroute，感谢。

ackca 发表于 2019-4-26 05:05
我确实没好好看你的内容，但我说的没问题啊，那就给你解释一下，

对于traceroute，每到一个接点，因为 ...

非常感谢你的回答。  那防火墙收到一个UDP为33434的数据包，端口不可达信息，ASA默认是不回包的？，直接丢弃？，是吗？ 还是可以在ASA设备上设置什么命令，可以达到这个需求呢？谢谢。

dddddddddddddddd