Fortigate 反向路径检查失败

网络工程 防火墙 加强
2021-07-07 18:44:39

我有一个带有 IP 172.22.0.27/16 的 vlan 接口的 Fortigate 1240B。当直接连接的主机尝试 ping 我的 IP 时,我收到以下消息。

id=36871 trace_id=2 func=resolve_ip_tuple_fast line=3788 msg="vd-root 从端口 30 收到了一个数据包(proto=1, 172.22.0.3:49->172.22.0.27:8)。"
id=36871 trace_id=2 func=resolve_ip_tuple line=3928 msg="分配一个新的会话-01450d77"
id=36871 trace_id=2 func=ip_route_input_slow line=1277 msg="反向路径检查失败,丢弃"
id=36871 trace_id=2 func=ip_session_handle_no_dst line=3964 msg="trace"

ping 在接口上启用,我已经尝试启用 asymroute。

1个回答

(这个问题似乎陈旧,但无论如何可能会在搜索时找到。)
调试消息表明 Fortigate 丢弃了来自未知源网络的流量。这称为反向路径检查或反欺骗功能。此处没有其他消息表示缺少此数据包到源网络的路由,它可以是
- 端口上直接连接的子网或 - 路由协议静态分配或获知的路由

所以你的第一个动作是查看显示活动路由的路由监视器(不是路由表!)。您可以从 GUI(系统>路由器>监视器)或使用@Puglet 上面列出的命令从 CLI 访问它。
如果有返回源子网的路由,则检查是否存在允许此流量的有效策略。

您可以在 Fortinet 知识库中研究这些症状,该知识库可在http://kb.fortinet.com 上公开访问例如,查找RPF 的http://kb.fortinet.com/kb/microsites/search.do?cmd=displayKC&docType=kc&externalId=FD35076

其它你可能感兴趣的问题
上一篇启用 FIB(转发表)更改的陷阱 下一篇远程端口转发 Cisco