预备知识:
1.traceroute原理,UDP和ICMP
2.cisco防火墙基础NAT相关知识
正文:
防火墙做为一种安全设备,是不希望自己的接口地址被别人探测到的,所以在做traceroute时,不管是从内到外,还是从外到内,pix接口地址都是隐藏的,不在这其中的。
这是这次实验的网络拓扑
1)pix 不做转换
pix config:
no nat-control
access-list in permit ip any any
access-list out permit ip any any
access-group in in interface inside
access-group out in interface outside
winxp trace R2
R5 trace R2
R2 trace winxp
R2 trace R6的172.16.1.1的时候,出现如下情况:
这个时候即使到了172.16.1.1,但是icmp port-unreachable还是出向接口发出的,在这里是10.10.10.2
总结:如果在没有nat转换的时候,只要访问控制列表放行相应的流量,就可以进行正常的traceroute
