Cómo configurar Cisco Firewall ASA v.8.x para permitir traceroute hacia Internet (interface outside) desde la red local (interface inside)

¿Has tenido problemas al intentar generar trazas hacia Internet desde tu red local al momento de realizar diagnósticos de fallas?  Esto se debe probablemente a que la versión 8 de Cisco ASA únicamente permite el paso de este tipo de  tráfico cuando está explícitamente permitido en una lista de acceso (ACL) en la interfaz de menor seguridad, en este caso la outside. Cisco lo diseñó así por seguridad.

Aun habilitando el Inspect de ICMP en  global policy no funcionará, es por eso que debes crear  las listas de acceso para permitir este tipo de tráfico, como lo expongo a continuación:

1.      Habilitar el icmp unreachable.

2.      Habilitar  time-exceded para la interfaz outside (por omisión está restringido en la outside).

3.     Crear una lista de acceso en modo de prueba:

access-list outside_in extended permit icmp any any  time-exceeded

access-list outside_in extended permit icmp any any unreachable

access-list outside_in extended permit udp any any range 33434 33464

4.     Aplicar en ambos lados, tanto en inside como en outside.

5.     Configurar ICMP en la  interfaz outside:

icmp permit any time-exceeded outside

icmp permit any unreachable outside

6.     Guardar los cambios.

Espero les sea de utilidad.

[email protected]