问题描述:
内网ping外网不通,网页能正常访问,从F1000-A 防火墙上能看到ICMP出去会话,由于设备会话显示条目简单只能通过抓debug能看到公网回ping包,判断是防火墙禁止了。但是从配置上看,没有找到哪个配置有限制。是不是需要额外开启其他命令。以下为设备重点配置:
firewall packet-filter enable
#
aspf-policy 10
detect h323
detect rtsp
detect http
detect smtp
detect tcp
detect udp
#
firewall defend ip-spoofing
firewall defend land
firewall defend smurf
firewall defend fraggle
firewall defend winnuke
firewall defend icmp-redirect
firewall defend icmp-unreachable
firewall defend source-route
firewall defend route-record
firewall defend tracert
firewall defend ping-of-death
firewall defend tcp-flag
firewall defend ip-fragment
firewall defend large-icmp
firewall defend teardrop
firewall defend ip-sweep
firewall defend port-scan
firewall defend arp-spoofing
firewall defend arp-flood
firewall defend frag-flood
firewall defend syn-flood enable
firewall defend udp-flood enable
firewall defend icmp-flood enable
- 2024-01-09提问
- 举报
-
(0)
您好,将防火墙的ICMP配置删除即可
- 2024-01-09回答
- 评论(1)
- 举报
-
(0)
将firewall defend 里面的含有icmp和ping删除了好像没有生效。
您好,请知:
经过防火墙不通,以下是排查要点,请参考:
1、检查接口是否加入安全域并放通安全策略。
2、检查路由是否可达。
- 2024-01-19回答
- 评论(1)
- 举报
-
(0)
除ping以外网访问正常,使用包过滤策略,放通源为内网ip地址,通过debug ip packetk可以查看到ping已经经过防火墙出去,并且能接收到回到防火墙的ping报文,但是防火墙并没有将ping报文转发回内网终端,经过查看ping报文没有内网口发送以及下层设备没有接收到ping报文判断为防火墙收包时丢弃。
除ping以外网访问正常,使用包过滤策略,放通源为内网ip地址,通过debug ip packetk可以查看到ping已经经过防火墙出去,并且能接收到回到防火墙的ping报文,但是防火墙并没有将ping报文转发回内网终端,经过查看ping报文没有内网口发送以及下层设备没有接收到ping报文判断为防火墙收包时丢弃。
编辑答案
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
- 1. 您举报的内容是什么?(请在邮件中列出您举报的内容和链接地址)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
- 3. 是哪家企业?(营业执照,单位登记证明等证件)
- 4. 您与该企业的关系是?(您是企业法人或被授权人,需提供企业委托授权书)
抄袭了我的内容
×
原文链接或出处
诽谤我
×
- 1. 您举报的内容以及侵犯了您什么权益?(请在邮件中列出您举报的内容、链接地址,并给出简短的说明)
- 2. 您是谁?(身份证明材料,可以是身份证或护照等证件)
对根叔社区有害的内容
×
不规范转载
×
举报说明
将firewall defend 里面的含有icmp和ping删除了好像没有生效。