我们有一台 SonicWall NSA2400,配置了 LAN (X0) 和 WAN(X1) 接口。它一直都设置正常,直到最近一名临时工更改了一些设置(很可能是 NAT)。
我们可以在 LAN 上顺利 ping 通,我们还有另一个 FW 设置,它与互联网连接配合得很好,所以我们知道这不是问题所在。两个防火墙之间以及客户端之间的 ping 通都很顺利。
我们尝试过 NAT 规则,它让一切都变得开放,基本上允许任何对任何的任意服务等等。我们也无法 ping 通我们的 ISP DNS。我们甚至尝试添加 Google DNS (8.8.8.8),但无济于事。
如果我使用 WAN IP 和 DNS 设置了一台计算机,一切都可以正常工作,就像通过其他 FW 一样。
我对 SW FW 没什么经验,但有趣的是,如果你从客户端 ping 出去,它能够将主机名解析为 IP,例如
正在 Ping yahoo.com [98.138.253.109],数据为 32 字节:请求超时。请求超时。等等。
这适用于我们 ping 的任何地址/主机名,它将解析为 IP 然后超时。尝试通过网页访问主机名或 IP,但无法连接。
有人遇到过类似的问题吗?任何帮助都将不胜感激。
提前感谢并致以最诚挚的问候。
汤姆
答案1
从日志开始。不要立即更改配置,这通常会使事情变得更糟,而且您最终也会忘记您更改了什么。
希望通过查看日志,您能够确定发生了哪些更改。如果做不到这一点,您能否通过日志看到防火墙是否丢弃/拒绝数据包?
可以解析 DNS 的事实表明您的路由和 NAT 已到位(除非您正在运行内部缓存名称服务器),但一般流量被阻止。在我看来,这听起来像是防火墙规则出了问题。
如果以上方法都失败了,请立即备份系统日志,以便稍后进行分析,然后从良好的备份中恢复系统。然后,您应该分析“损坏”配置的日志以确定做了什么。
答案2
这个问题很模糊。由于您不知道临时工做了哪些更改,因此很难告诉您要撤消哪些操作。您有备份设置的副本吗?这将是恢复正常工作配置的最简单方法。
如果没有,老实说,最简单的方法可能是将设备重置为出厂默认设置并重新配置。在此之前,请记下所有相关 IP、自定义防火墙和 NAT 规则等。事实上,你开始添加一堆 Any to Any NAT 规则(不知道它们的作用)确实会把事情搞得一团糟。
希望有帮助
答案3
只需记录日志,看看防火墙是否根据缺失或“拒绝”规则丢弃数据包。如果您在其中看不到任何内容,则可能是缺少 nat 规则,但通常,除非被防火墙规则阻止,否则出站默认规则会处理出站流量。但一般来说,默认情况下 LAN->WAN 流量允许所有流量。
答案4
在 Sonicwall 防火墙中,无论您有多个互联网提供商还是只有一个,您都必须在默认 LB 组中设置至少一个接口Network > Failover & LB > Default LB Group,如此屏幕截图所示:
