各种大牛请进，这种问题只能在水区问才有答案

XXHJACK · 发表于 2012-9-10 09:10

本帖最后由 XXHJACK 于 2012-9-10 09:28 编辑

LZ在内网内？？？

个人感觉ping -r 9是响应的代理的ip，tracert响应的是代理服务器的ip。lz内网内应该有2个路由或防火墙！我们公司的防火墙造成ping -r 9直接time out，tracert只显示开头和结尾。

XXHJACK · 发表于 2012-9-10 12:40

哪我的猜测对了。。。。。。。。。。。

XXHJACK · 发表于 2012-9-10 13:04

本帖最后由 XXHJACK 于 2012-9-10 13:09 编辑

P0wer 发表于 2012-9-10 13:00
为啥Ping -r一些人会没有结果？

估计和防火墙有些功能限制有关！我公司也是，防火墙功能有bug。得在家里试试才晓得。又用谷歌翻译看了下那段英文，这个有个端口说明，是否需要打开那个端口段才能测试。

XXHJACK · 发表于 2012-9-10 13:37

P0wer 发表于 2012-9-10 13:19
不对啊，Windows上的Tracert不是UDP，只是ICMP。

嗯！我们公司的防火墙就是有这个bug，没打开这玩意的功能。ping应该也是走的icmp！

XXHJACK · 发表于 2012-9-10 13:47

gmx168 发表于 2012-9-10 13:40
我这里用Cisco的ASA防火墙，有专门针对ICMP协议的配置，我已经打开的ICMP的监控，PING -r一样无结果返回 ...

我们公司用的是天融信的设备。是查路由表的时候出现这个问题我专门打电话去问过售后支持，说的是首先要打开icmp支持然后再修改什么哦，结果我找了2天没找到这个功能，让厂家的远程查看，结果他们也发现没这功能。然后他们研究了半天改了个设置最后还是失败。我估计你还要改点什么，最好找技术支持问问，有些防火墙的实际很蹩脚。

XXHJACK · 发表于 2012-9-10 13:54

受此贴启发把icmp端口加入防火墙内网向外网转发规则，解决了直接ping外网time out的问题。确认ping 也是走的icmp端口。ping -r和Tracert问题待解决。

XXHJACK · 发表于 2012-9-10 14:12

本帖最后由 XXHJACK 于 2012-9-10 14:32 编辑

P0wer 发表于 2012-9-10 14:06
ping -r和tracert得到的路由IP区别应该和我猜想的差不多，现在就是ping -r request timedout的问题。 ...

回家用adsl测试！Tracert问题我这售后基本上明确了是防火墙bug问题，只需要在家测试是否Tracert和ping -r的结果和你的一样基本就能确认了。刚才打电话问了售后，售后说Tracert和ping的协议不一样，icmp只是ping的一个协议包。大部分防火墙会屏蔽Tracert的功能。所以Tracert和ping看到的很可能不一样。

XXHJACK · 发表于 2012-9-10 14:13

gmx168 发表于 2012-9-10 13:49
我觉着和防火墙关系不大，我这台电脑直接绑定公网IP，没有硬件防火墙的防护，一样没有结果。 ...

我们这一样只是多了这个防火墙！

XXHJACK · 发表于 2012-9-10 14:43

本帖最后由 XXHJACK 于 2012-9-10 14:50 编辑

查了下维基百科的icmp，分别介绍了ping和Tracert的工作原理。个人认为tracert是用ttl的方式计算路由位置的所以得到的是网关/代理服务器的ip，ping是利用echo发送和接收信息端判定响应时间，也就是ping响应的是网关/代理服务器分配的ip地址。

具体请看http://zh.wikipedia.org/zh/%E4%B ... F%E5%8D%8F%E8%AE%AE

XXHJACK · 发表于 2012-9-10 15:09

P0wer 发表于 2012-9-10 15:03
老黄说的是ping -r

《TCP-IP详解卷1》（这本书我没有，是网上摘抄）：

如果确定是这样的话那个意思不就是说tracert是显示的你经过的路由，ping -r是返回经过的路由。如果属实ping -r的话会出现假ip 的情况，或者对方服务器某个位置不允许这种返回。

XXHJACK · 发表于 2012-9-10 15:28

P0wer 发表于 2012-9-10 15:25
我觉得是中间路由的问题

不一定，本身路由器禁止了icmp进入也可能有这问题。晚上回去一试便知。

XXHJACK · 发表于 2012-9-10 15:36

P0wer 发表于 2012-9-10 15:30
那倒是，但是黄大湿ping pceva服务器没问题，ping -r就不行，这个说明应该不像是IDS对ICMP处理的问题。 ...

我也这样！所以正好说明防火墙的问题存在。估计是设计者认为基本不需要这功能吧！得到的可能有伪ip！

XXHJACK · 发表于 2012-9-10 15:39

P0wer 发表于 2012-9-10 15:39
我的就是正常，你们都是公司网络测试的？有硬防火墙？

嗯！我网管，所以防火墙上可以随便改！你说的问题可以马上测试，不过这破防火墙不争气

XXHJACK · 发表于 2012-9-10 15:46

P0wer 发表于 2012-9-10 15:42
顺便问一下，tracert有没有被欺骗的可能，比如中间的某个路由不理睬TTL，直接数据报转发？ ...

不会的！只是会屏蔽掉！出现你看到的*****之类的东西，所以我问你是不是内网，是不是过2个防火墙。

XXHJACK · 发表于 2012-9-10 15:48

P0wer 发表于 2012-9-10 15:47
一个防火墙。

我看错了！那是黄大发的。。。。。。。。

XXHJACK · 发表于 2012-9-10 18:42

gmx168 发表于 2012-9-10 15:56
讨论的很热烈啊，我也没闲着呢，确实和防火墙配置有关。

我在一台笔记本上测试Ping -r时监控了防 ...

回家又做了测试！应该是此问题，ping -r命令超时，查看路由日志得到一系列的返回清单。tracert命令得到和你基本一致的结果！pceva双机备份的防火墙

。看来lz要么是裸测的要么防火墙有功能开启了包头发送。

XXHJACK · 发表于 2012-9-10 20:52

P0wer 发表于 2012-9-10 19:21
我这里过了NAT之后就进入电信光纤网络了

有空了我去单独测试公司外网！！