我正在配置防火墙硬件,它连接在我的笔记本电脑和实验室 LAN 之间(实验室 LAN 也连接到其他计算机以及 Internet)。我的目标是允许在我的计算机和实验室中的另一台计算机之间进行 ping。然后测试拒绝ping功能。
要成功 ping,我必须通过设置防火墙配置 GUI 来允许所有与“ping”相关的必要协议。我曾尝试允许多个与 ping 相关的协议,例如 ARP、ICMP。但是,“ping”是不成功的。我认为问题在于配置中未列出和允许某些支持“ping”的协议。这是正确的吗?那么我还需要添加哪些协议?
您必须允许 ICPM - Echo 和 ICMP - Reply。对于 ping,这通常就是您所需要的,arp 不应被防火墙阻止。至少,不是默认的。
如果您的 ping 仍然不成功,请记住还有一些其他潜在问题(L2/L3 连接,如子网划分或路由,您 ping 的主机可能有本地防火墙,等等...)
好,
至少您需要了解ICMP-echo(离开PING源并在一个方向上行走防火墙)和具有不同类型并在相反方向穿越防火墙的ICMP-echo-reply。
此外:“现代”PING 可以并且经常使用 UDP 和(较少的)TCP 而不是 ICMP,因此摆脱这个问题的最短方法是查看拒绝日志并确定您需要实施什么样的规则。
显然,这种方式是“智能的”,以防万一您正在进行测试而不是用于生产环境。
无论如何在打开所有类型的 ICMP 时要小心,至少有些可能是“危险的”(假设 ICMP 重定向)
您正在考虑您身边的错误,但通常情况下,事情不在您的控制之下。
只是想知道发生了什么,在转储级别获取流量(在 cisco 术语中读取“捕获”或在 unix 中读取“tcpdump”)并查看:如果 ICMP-echo-req 将防火墙留在离目的地最近的接口中并且没有 ICMP -echo-reply 回来了(在同一个界面):问题不在你的设备上。
此外:ARP 不能穿越防火墙,除非是非常罕见的情况,否则这是无稽之谈。
检查防火墙日志。如果它阻止 ping,它会告诉你。