我在 pfSense 2.0.3 中看到了一些奇怪的行为,其中根据“接口”屏幕,我的所有 WAN 接口都处于启动状态,但除默认网关之外的所有接口在网关组中都显示为“离线”。
我的默认网关工作正常。
我的第一个想法是网关不响应 ICMP,但我能够从不相关的连接(即从外部)对它们进行 ping 操作。
更奇怪的是,使用 WebConfigurator 中的“Ping”工具,我可以8.8.8.8从所有 WAN 接口 ping 通,但它们无法 ping 通自己的下一跳。
8.8.8.8最奇怪的是,当我对任何接口使用备用监控 IP 时,它就无法 ping 通!
我想知道以下问题:
- WebConfigurator 中的 Ping 工具是否仍然应用了针对本地主机的防火墙和出站 NAT 规则?
- 以前有人见过这样的事情吗?
答案1
我在 pfSense ver 2.3.2-RELEASE-p1 上遇到了几乎同样的问题,经过几个小时的谷歌搜索后,我发现了这一点。 https://forum.pfsense.org/index.php?topic=105644.0
有时网关不想响应ping。如果您的网关正在运行但仪表板仍然显示它处于离线状态,您可以尝试更改网关上数据有效负载的高级设置。(定义通过 ICMP 数据包发送到网关监控 IP 的数据有效负载。)
答案2
因此,我学到了一些新东西:当您从 WebConfigurator 执行 Ping 操作时,防火墙规则仍然适用。
就我而言,我有一个愚蠢的浮动规则,即将 WANS A、B、C、D 的网关组分配给任何协议、任何源、任何目的地、OUT。
因此,网关 B、C、D 上的 ping 显然会超时,因为 ICMP 流量始终通过 A 路由。
将规则修复为仅适用于 TCP/UDP 流量后,问题得到彻底解决。