防火牆策略不適用於 ping/tracert 嘗試?
我對網路幾乎一無所知,如果這是一個愚蠢或奇怪的問題,我深表歉意。
我們的系統管理/IT 支持外包給一家諮詢公司。我正在與他們一起嘗試找出路由問題。我們有基於策略的路由設置,應該通過單獨的路由器將任何連接嘗試路由到某個 IP 範圍。由於我還沒有將要使用此連接的程序,因此我試圖通過 tracert 驗證它是否正確設置。該策略有時會正確地將其路由到單獨的連接,而在其餘時間它會被錯誤地路由到包羅萬象的 Internet 連接策略。
與我一起工作的諮詢公司的人無法弄清楚,所以他不得不聯繫他們在 Watchguard 的代表。他們確定這是由於預設 Internet 路由策略在策略列表中的排名高於特定 IP 範圍策略。當調整後問題繼續存在時,代表繼續說防火牆策略無論如何都不會影響任何 ping 或 tracert 嘗試,並且任何嘗試連接到設定範圍內 IP 的程序都將被正確路由。
我還沒有機會使用將使用該連接的特定應用程序來驗證這一點。但是,當 IP 不應該觸發該策略時,我看到一些對某些 IP 的連接嘗試隨機路由到單獨的連接。似乎所有策略都配置正確,所以我認為這是防火牆問題。代表關於不影響 ping/tracert 的防火牆策略的聲明是否有任何優點?我可能不得不再次與他們聯繫以糾正這個問題,但我想提前知道這個人是否知道他在說什麼。
ping
正在使用ICMP,通常會traceroute
生成UDP或 ICMP 流量(Unix/Windows 不同)。因此,從技術上講,您應該能夠輕鬆地從基於所使用協議(假設它使用TCP)生成的應用程序中辨別診斷流量。因此,有可能將路由策略設置為僅適用於 TCP 流量(例如)。因此**,您問題中的陳述可能是有效的**。但這將是管理員的具體決定。根據 IP 範圍將策略應用於所有流量(無論類型如何)應該沒有問題。因此,如果他們願意,診斷流量將使用相同的策略。事實上,我認為首先這樣做會更合理。
也就是說,代表可能有一些優點,所以你不應該過早解僱他。但我會小心行事,因為您提到的其他問題(不應該觸發的策略)意味著可能存在一些配置問題。所以同樣有可能他確實不知道他在說什麼。