有没有办法允许大于 1472 的 ping 数据包通过 Juniper SSG520M 防火墙?
“死亡之 Ping”和“大型 ICMP 数据包”保护已在‘筛选’选项下禁用。
我需要能够使用大于 1500 的数据包从 Trust 端 ping 到 Untrust 端(反之亦然)(即 ping 192.168.1.1 -l 4096),这样我就可以强制分段。
答案1
请注意,现在 Linux ping 默认设置了不分段位。检查你的实现的手册页(因为根据发行版的不同,有几个手册页叹)。
对于“iputils”版本,您需要“-M dont”选项。
答案2
如果你登录到 CLI,你应该能够看到为什么 ping 被丢弃,使用 ffilter 类似的东西
set ffilter dst-ip <whatever> src-ip <whatever>
应该告诉您什么规则实际上丢弃了 ping,这样您就可以将其关闭。