问

防火墙FecPath F1000-AK125+首报文状态检查丢包

会话

2023-09-29提问

0关注
0收藏，1085浏览

zhiliao_USttu

zhiliao_USttu 零段

粉丝：0人关注：1人

问题描述：

如题，碰到“首报文状态检查丢包”这个问题，具体描述及问题见图。望大神指点，谢谢。

最佳答案

已采纳

奇怪的流量

奇怪的流量九段

粉丝：29人关注：9人

这肯定不通啊。防火墙是基于会话来管理流量的，在没有ping的请求报文建立会话的情况下就直接收到ping的响应报文自然会认为这是异常报文。

如果想在这种情况下使用，建议通过session state-machine mode loose将会话机改为宽松模式。

你一下帮我解决了两个困扰我的问题呀，另外一个问题也是因为这个会话模式问题引起的，感谢这位老师的指点。

zhiliao_USttu 发表时间：2023-10-04 更多>>

这个回答太到位了，非常感谢，真正的专家，赞一个。测试了，果然如此。不带防火墙功能的普通路由器不会有这种限制吧？

zhiliao_USttu 发表时间：2023-09-30

回复zhiliao_USttu:

普通路由器不会这样。

奇怪的流量发表时间：2023-09-30

收到，再次感谢您的精准回复，祝您国庆快乐！

zhiliao_USttu 发表时间：2023-09-30

你一下帮我解决了两个困扰我的问题呀，另外一个问题也是因为这个会话模式问题引起的，感谢这位老师的指点。

zhiliao_USttu 发表时间：2023-10-04

4 个回答

按时间按赞数

叫我靓仔

叫我靓仔九段

粉丝：146人关注：1人

arp代理关一下

这个功能在哪？在网络-ARP 那看了半天没看到，只有IP-MAC绑定、ARP列表

zhiliao_USttu 发表时间：2023-09-29 更多>>

这个功能在哪？在网络-ARP 那看了半天没看到，只有IP-MAC绑定、ARP列表

zhiliao_USttu 发表时间：2023-09-29

zhiliao_X45Ufc

zhiliao_X45Ufc 四段

粉丝：0人关注：0人

可能来回路径不一样，把接口加入一个安全域试试，不然会有会话冲突的问题

所有的端口都加入了有安全域的

zhiliao_USttu 发表时间：2023-09-29 更多>>

所有的端口都加入了有安全域的

zhiliao_USttu 发表时间：2023-09-29

韦家宁【技术大咖】

韦家宁【技术大咖】九段

粉丝：46人关注：10人

您好，请知：

检查下路由来回路径是否一致。

其次检查防火墙上涉及到的物理端口是否已加入安全域并放通安全策略。

端口是有加入安全域的。就是来回路径不一样，当（pc1)192.168.52.2（网关：192.168.52.1） ping 192.168.12.249的时候，因为目标主机与网关的另一个口是直连的，所以直接转发给目标192.168.12.249，目标返回数据因为它的网关是防火墙192.168.12.254，所以并没有通过中间的三层交换机发回给源主机pc1，而是通过三层交换机发给防火墙，防火墙再转回给三层交换机的vlan接口192.168.12.1转发回给源主机pc1，但事实上在防火墙那包就被丢弃了。报文示踪显示 "首报文状态检查丢包" 记得数据经过路由是不管来回路径是否一样都会按照路由来进行转发的，难道防火墙是个特例？

zhiliao_USttu 发表时间：2023-09-30 更多>>

zhiliao_USttu 发表时间：2023-09-30