ICMP協(xié)議的一些內(nèi)容我們講述了不少。對(duì)于它的基礎(chǔ)內(nèi)容我們這里也不再贅述。首先針對(duì)它的應(yīng)用，我們知道，在防火墻設(shè)置中常會(huì)遇到。那么今天我們就來(lái)介紹一下Ping命令中的一些具體指示。針對(duì)INBOUND ICMP的使用情況。

處理ICMP Ping與PIX防火墻

互聯(lián)網(wǎng)控制信息協(xié)議 (ICMP) ping在PIX 防火墻根據(jù)PIX代碼版本不同處理。本文的信息根據(jù)以下的軟件及硬件版本。PIX軟件版本4.1(6)從5.0.1和以后。本文提供的信息在特定實(shí)驗(yàn)室環(huán)境里從設(shè)備被創(chuàng)建了。用于本文的所有設(shè)備開始了以一個(gè)缺省（默認(rèn)）配置。如果在一個(gè)真實(shí)網(wǎng)絡(luò)工作，保證您使用它以前了解所有命令的潛在影響。

Ping通過(guò)PIX

PIX軟件版本5.0.1以上

默認(rèn)情況下 INBOUND ICMP通過(guò)PIX被拒絕; 出局ICMP允許，默認(rèn)情況下 但流入的應(yīng)答被拒絕。

Ping Inbound

INBOUND ICMP可以允許帶有 管道語(yǔ)句或 訪問(wèn)列 表語(yǔ)句，您在PIX使用。 請(qǐng)勿 混合輸送管道和訪問(wèn)控制列表。 由所有設(shè)備超出允許設(shè)備的 ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5)：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo
access-group 101 in interface outside
Ping outbound

#p#對(duì)出局ICMP的回應(yīng)可以允許帶有管道語(yǔ)句或訪問(wèn)列表語(yǔ)句，您在PIX使用。 請(qǐng)勿混合輸送管道和訪問(wèn)控制列表。 允許對(duì)設(shè)備10.1.1.5里面起動(dòng)的ICMP請(qǐng)求的回應(yīng)(靜態(tài)到200.1.1.5)從所有設(shè)備外面：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo-reply
access-list 101 permit icmp any host 200.1.1.5 source-quench
access-list 101 permit icmp any host 200.1.1.5 unreachable
access-list 101 permit icmp any host 200.1.1.5 time-exceeded
access-group 101 in interface outside

PIX軟件版本4.2(2)至 5.0.1

默認(rèn)情況下 INBOUND ICMP通過(guò)PIX被拒絕; 出局ICMP允許，默認(rèn)情況下 但流入的應(yīng)答被拒絕。

Ping Inbound

INBOUND ICMP可以允許帶有管道語(yǔ)句。 由所 有設(shè)備超出允許設(shè)備的ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5)：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
Ping outbound

對(duì)出局ICMP的回應(yīng)可以允許帶有管道語(yǔ)句。允 許對(duì)設(shè)備10.1.1.5里面起動(dòng)的ICMP 請(qǐng)求的回應(yīng)(靜態(tài)到200.1.1.5) 從所有設(shè)備外面：

static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

PIX軟件版本4.1(6)至4.2(2)

默認(rèn)情況下INBOUND ICMP通過(guò)PIX被 拒絕; 默認(rèn)情況下出局ICMP允許。

Ping Inbound

INBOUND ICMP可以允許帶有管道語(yǔ)句。 由所 有設(shè)備超出允許設(shè)備的ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5)：

static (inside), outside) 200.1.1.5 10.1.1.5
conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0
!--- 8 is for echo request; these are from RFC 792.
!--- See ICMP Message Types (RFC 792).
Ping outbound

默認(rèn)情況下出局ICMP和回應(yīng)允許。#p#

Ping對(duì)PIX的自有接口

在PIX軟件版本4.1(6)直 到5.2.1，ICMP 數(shù)據(jù)流對(duì)PIX的自有接口允許; 不可能配置 PIX 不回應(yīng)。您不會(huì)能ping接口在"更邊"的PIX 在任何版本 。在我們的網(wǎng)絡(luò)圖，您能到ping 10.1.1.1從10.1.1.5或 200.1.1.1從外面，但您不會(huì)能連接200.1.1.1從10.1.1.5，亦不您 能到ping 10.1.1.1 ，從外面。默認(rèn)情況下開始在PIX軟件版 本5.2.1，ICMP仍然允許，但PIX ping響應(yīng)從其自有接口可以用icmp 命令 (即"stealth PIX"禁用)：

icmp許可證|deny [ host ] src_addr [ src_mask ][ type ] int_name

例 如，下列防止我們的PIX發(fā)送ECHO回復(fù)以回應(yīng)ECHO請(qǐng)求：

icmp拒絕所有響應(yīng)外面

照同訪問(wèn)控制列表，在沒(méi)有 許可證 語(yǔ)句時(shí)，有一 含蓄的也拒絕其他ICMP數(shù)據(jù)流。

此 命令允許ping從網(wǎng)絡(luò)立即外面PIX：

icmp許可證200.1.1.0 255.255.255.0響應(yīng)外面

照同訪問(wèn)控制列表，在沒(méi)有 許可證 語(yǔ)句時(shí)，有一 含蓄的也拒絕其他ICMP數(shù)據(jù)流。

ICMP消息類型 (RFC 792)