【HCI】分布式防火墙放通了PING，但是防火墙拦截了PING的

更新时间：2023-01-05

阅读权限：游客
下载
分享本内容
微博

QQ

QQ 空间

复制链接
分享
收藏

所属模块网络问题

适用版本通用

HCI上设置了分布式防火墙，第一条规则是允许源IP所有，目的IP所有，允许的协议为PING协议，第二条策略拒绝为源IP所有，目的IP所有，允许的协议为全部协议。虚拟机在ping交换机外网的地址的会被分布式防火墙的第二条策略拦截（正常情况下是匹配第一条不会被拦截）。

1、确认虚拟机匹配的分布式防火墙规则

2、查看分布式防火墙的拦截日志，发现是ping包的回包被默认的拒绝策略拦截了

3、根据可以判定是分布式防火墙拦截了回包。在第一条允许的策略中，添加放通所有协议，发现虚拟机可以正常ping通

4、根据第三方初步判断跟防火墙拦截Ping的回包跟协议有关。通过分析发现是ping的request是type:8,code:0形式，ping的request包是type:0,code:0形式的。因为分布式防火墙上的PING服务是Ping(ICMP;type:8,code:0)形式的，不包括Ping(ICMP;type:0,code:0)形式，所以ping包的回包被拦截了

5、新添加一条自定义的服务为ICMP(type:0,code:0)，设置为允许解决

PING的请求包和应答表的type不一致，应答包不匹配分布式防火墙导致

新添加一条自定义的服务为ICMP(type:0,code:0)，设置为允许

{{contentObj.name||'--'}}

{{contentObj.name||'--'}}

深信服自助服务平台

超融合HCI

【HCI】分布式防火墙放通了PING，但是防火墙拦截了PING的