互聯(lián)網(wǎng)控制信息協(xié)議 (ICMP) ping在PIX 防火墻根據(jù)PIX代碼版本不同處理。

本文的信息根 據(jù)以下的軟件及硬件版本。

本文提供 的信息在特定實驗室環(huán)境里從設備被創(chuàng)建了。用于本文的所 有設備開始了以一個缺省（默認）配置。如果在一個真實網(wǎng) 絡工作，保證您使用它以前了解所有命令的潛在影響。

默認情況下 INBOUND ICMP通過PIX被拒絕; 出局ICMP允許，默認情況下 但流入的應答被拒絕。

INBOUND ICMP可以允許帶有 管道語句或 訪問列 表語句，您在PIX使用。 請勿 混合輸送管道和訪問控制列表。 由所有設備超出允許設備的 ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5)：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo
access-group 101 in interface outside

對出局ICMP的回應可以允許帶有 管道語句或 訪問列表語句，您在PIX使用。 請勿混合輸送 管道和訪問控制列表。 允許對設備10.1.1.5里面起動的ICMP 請求的回應(靜態(tài)到200.1.1.5)從所有設備外面：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
!--- and either
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded
!--- or
access-list 101 permit icmp any host 200.1.1.5 echo-reply
access-list 101 permit icmp any host 200.1.1.5 source-quench
access-list 101 permit icmp any host 200.1.1.5 unreachable
access-list 101 permit icmp any host 200.1.1.5 time-exceeded
access-group 101 in interface outside

默認情況下 INBOUND ICMP通過PIX被拒絕; 出局ICMP允許，默認情況下 但流入的應答被拒絕。

INBOUND ICMP可以允許帶有管道語句。 由所 有設備超出允許設備的ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5)：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo

對出局ICMP的回應可以允許帶有管道語句。允 許對設備10.1.1.5里面起動的ICMP 請求的回應(靜態(tài)到200.1.1.5) 從所有設備外面：
static (inside,outside) 200.1.1.5 10.1.1.5 netmask 255.255.255.255 0 0
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 echo-reply
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 source-quench
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 unreachable
conduit permit icmp 200.1.1.5 255.255.255.255 0.0.0.0 0.0.0.0 time-exceeded

默認情況下INBOUND ICMP通過PIX被 拒絕; 默認情況下出局ICMP允許。

INBOUND ICMP可以允許帶有管道語句。 由所 有設備超出允許設備的ICMP 10.1.1.5里面(靜態(tài)到200.1.1.5)：
static (inside), outside) 200.1.1.5 10.1.1.5
conduit 200.1.1.5 8 icmp 0.0.0.0 0.0.0.0
!--- 8 is for echo request; these are from RFC 792.
!--- See ICMP Message Types (RFC 792).

默認情況下出局ICMP和回應允許。

在PIX軟件版本4.1(6)直 到5.2.1，ICMP 數(shù)據(jù)流對PIX的自有接口允許; 不可能配置 PIX 不回應。您不會能ping接口在"更邊"的PIX 在任何版本 。在我們的網(wǎng)絡圖，您能到ping 10.1.1.1從10.1.1.5或 200.1.1.1從外面，但您不會能連接200.1.1.1從10.1.1.5，亦不您 能到ping 10.1.1.1 ，從外面。默認情況下開始在PIX軟件版 本5.2.1，ICMP仍然允許，但PIX ping響應從其自有接口可以用icmp 命令 (即"stealth PIX"禁用)：

icmp許可證|deny [ host ] src_addr [ src_mask ][ type ] int_name

例 如，下列防止我們的PIX發(fā)送ECHO回復以回應ECHO請求：

icmp拒絕所有響應外面

照同訪問控制列表，在沒有 許可證 語句時，有一 含蓄的也拒絕其他ICMP數(shù)據(jù)流。

此 命令允許ping從網(wǎng)絡立即外面PIX：

icmp許可證200.1.1.0 255.255.255.0響應外面

照同訪問控制列表，在沒有 許可證 語句時，有一 含蓄的也拒絕其他ICMP數(shù)據(jù)流。