我有两个需要连接在一起的 LAN 子网,它们是 192.168.4.0/24 和 192.168.5.0/24
192.168.4.1 上运行着一个 m0n0wall。它的 LAN 连接连接到我们的网络交换机,它的 WAN 端口连接到我们的 ADSL 调制解调器。WAN 通过 PPPoE 连接。
192.168.4.0 子网包含我们所有的办公室工作站。192.168.5.0 子网包含开发服务器和测试机器,它们需要获得互联网访问权限并由 192.168.4.0 子网上的计算机“管理”,但也需要位于自己的子网中。
我有一台配置在 192.168.5.1 上的 Draytek 2820N,其 WAN2 端口配置为 192.168.4.25,默认网关为 192.168.4.1。5.0 子网上的机器可以通过 m0n0wall 顺利连接到互联网。
我在 m0n0wall LAN 接口上配置了静态路由,网络 192.168.5.0/24 和网关 192.168.4.25。
5.0 子网上的机器可以 ping 4.0 网络上的机器,但反向则不行。我在 m0n0wall 上配置了一条新防火墙规则,允许源 IP 为 192.168.4.25 的 LAN 接口上的任何流量通过。DrayTek 防火墙当前配置为无论如何都允许所有流量通过。
当我尝试从 4.0 ping 5.0 子网中的一台机器时,我在 m0n0wall 日志中看到以下内容:
块 14:45:27.888157 LAN 192.168.4.25 192.168.4.37,类型 echoreply/0 ICMP
因此,回复是从 5.0 子网发送的,但由于防火墙阻止了它,因此不允许它到达我的工作站。为什么防火墙会阻止它?
我希望我的网络解释清楚,如果您需要进一步说明,请询问。
谢谢。
答案1
如果 ICMP 数据包从 192.168.4.37 发送到 192.168.5.x,并且从 192.168.4.25 收到回复,我想知道这是否可以被视为欺骗。在 m0n0wall 高级设置中,我注意到以下 2 个选项:
- 欺骗检查会阻止不是来自接收数据包的接口子网的数据包
- 绕过同一接口上的流量防火墙规则
我不知道 m0n0wall 的内部工作原理。但我想知道是否有添加的系统防火墙规则实际上未显示在规则 Web 界面中,这些规则可能会阻止 echoreply。
您能否转到 /exec.php 并发布命令的输出:
ipfw list
这可能对调试有帮助。