Ping 响应没有返回到 Watchguard 防火墙后面的邮件服务器

tag-icon tag-icon firewall ping watchguard
Ping 响应没有返回到 Watchguard 防火墙后面的邮件服务器

目前怀疑是 Watchguard 防火墙。作为编辑防火墙规则的人,我很可能是罪魁祸首。

  1. 最近,我公司使用了不同的外部 IP 地址。我更换了提供商,因此更改了外部 IP。在更改之前,我可以从邮件服务器 ping 并毫无差错地获得响应。

  2. 当我更改防火墙时,我所做的唯一更改是专门提到外部地址的规则。内部网络的物理连接没有改变。防火墙规则的结构没有改变(至少我是这么认为的)。

  3. 更换防火墙并插入新的 T1 后,我没有收到来自 192.168.0.4(邮件服务器的内部地址)的 ping 回复。我注意到外发邮件正在排队。最后,我在 192.168.0.25 上设置了第二个网络接口,一旦启用该接口,所有外发邮件都会离开队列,ping 回复会返回到邮件服务器。

  4. 新的外部 IP 地址列在 SORBS 列表之一中。我通过针对邮件服务器的单个外部地址的自动表单从黑名单中获得了排除。我发现,在某些配置下获得排除是有效的,但某些收件人服务器仍会将数据包追踪到仍在黑名单中的防火墙地址。

  5. 我现在发现,如果我将防火墙规则更改为允许 SMTP 从 192.168.0.4 发出,而不是使用以前有效的“过滤的 SMTP”规则,我的外发邮件就会出现在排除的外部地址上,而使用 SORBS 的收件人服务器不会阻止该邮件。

  6. 鉴于我允许来自 192.168.x.4 的邮件在未被列入黑名单的外部 IP 上发送,我禁用了与 192.168.0.25 相关的接口。

  7. 邮件现在可以用了,但是 ping 回复丢失了。查看防火墙日志显示允许传出 ping,并且 192.168.0.* 范围内除 192.168.0.4 之外的任何 IP 都会收到 ping 回复。

  8. 启用 192.168.0.25 接口会导致 ping 成功,但邮件会被 SORBS 用户列入黑名单。我可以暂时启用它来 ping,然后再次禁用它,但我宁愿解决这个问题,而不是一直绕着它转。

编辑:明确地说,我唯一需要帮助的问题是为什么 Ping 回复无法返回 192.168.0.4 或为什么服务器会丢弃这些响应。我不需要有关 SORBS 或一般邮件服务器问题的帮助。过去所有与邮件相关的问题都已解决,我只是在寻找一种解决方案,以便能够根据需要从该服务器 ping 到外部地址。

示例行为:

C:\>ping www.google.com

Pinging www.l.google.com [74.125.65.147] with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

预期行为:

C:\>ping www.google.com

Pinging www.l.google.com [74.125.65.99] with 32 bytes of data:

Reply from 74.125.65.99: bytes=32 time=22ms TTL=52
Reply from 74.125.65.99: bytes=32 time=22ms TTL=52
Reply from 74.125.65.99: bytes=32 time=22ms TTL=52
Reply from 74.125.65.99: bytes=32 time=22ms TTL=52

Ping statistics for 74.125.65.99:
    Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
    Minimum = 22ms, Maximum = 22ms, Average = 22ms

我还没有机会嗅探数据包,但我确实注意到了这一点

Routes:
Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.0.199   -               255.255.255.255 !H    0      -        0 -
192.168.0.200   -               255.255.255.255 !H    0      -      668 -

IP 为 0.200 的 PC 无法浏览网页、获取 Windows 更新或 ping。我更改了它的 IP,现在可以了。我不确定如何清除这些条目,也不知道为什么要添加它们。我没有看到类似的路由语句阻止往返 0.4 的流量

好的,我使用 NTOP 来监控往返的 ping,我得到了这个

已发送 296 字节,已接收 0 字节,已发送 4 个回显请求/已接收 0 个回显答复。

我猜这意味着这是一个防火墙问题。

答案1

您是否检查过防火墙上的 NAT 配置以解决新 IP 地址的问题?在我看来,这听起来像是 NAT 或 ARP 问题。查看防火墙上的 NAT 规则和 ARP 表,看看是否有与服务器中 IP 地址为 .4 的 NIC 的 MAC 地址相对应的条目。

答案2

根据谁是。所以这不是 DNS 问题。

您确定在网关/防火墙上配置了正确的 NAT 规则吗?它可能不会转换来自邮件服务器的 ping 请求。

相关内容