我有两个子网
- 答:192.168.2.0/24。在 A 内,我们有防火墙和互联网连接。
- 乙:172.16.12.0/24。
它们通过交换机相互连接,并且两个子网都配置为 VLAN。因此,交换机在两个子网内都有一个 IP 地址。
- 在 A 内我有 192.168.2.226
- B 内为 172.16.12.175
现在,如果我按如下方式配置 A 中的机器,则一切正常:
- sudo ip 路由通过 192.168.2.226 添加 172.16.12.0/24
和 B 中的机器通过
- sudo ip 路由通过 172.16.12.175 添加 192.168.2.0/24
B 上的主机现在可以访问 A 上的主机(以及 Internet 主机)。
现在我想删除 A 上主机上的手动静态路由。相反,我想通过防火墙中的规则添加从 192 到 172 的路由,这样 A 上的主机就不需要进一步配置。为此,我添加了一个“IPv4-Unicast-Route”,目标为 172.16.12.0/24,网关为 192.168.2.226。现在,A 上的主机可以访问 B:
> traceroute 172.16.12.4 /// running on 192.168.2.84
traceroute to 172.16.12.4 (172.16.12.4), 30 hops max, 60 byte packets
1 _gateway (192.168.2.254) 0.199 ms 0.219 ms 0.243 ms
2 192.168.2.226 (192.168.2.226) 1.579 ms 1.995 ms 2.429 ms
3 172.16.12.4 (172.16.12.4) 1.064 ms 1.044 ms 1.026 ms
但是 B 上的主机无法访问 A 上的主机:
> traceroute 192.168.2.84 //// running on 172.16.12.4
traceroute to 192.168.2.84 (192.168.2.84), 30 hops max, 60 byte packets
1 _gateway (172.16.12.175) 8.750 ms 9.058 ms 9.410 ms
2 _gateway (172.16.12.175) 3.811 ms !H 4.551 ms !H 5.006 ms !H
(B 上的主机仍然可以访问 8.8.8.8 等互联网主机,或者具有活动手动 IP 路由 ( sudo ip route add 172.16.12.0/24 via 192.168.2.226
) 的 A 上的主机)
原因可能是什么/我在防火墙配置方面缺少什么?我尝试添加防火墙规则,使 172 台主机能够访问 192 台主机,但这并没有什么区别。
编辑:我要补充一点,防火墙的IP地址是192.168.2.254。正如第一个跟踪路由中所示,它确实正确路由到 192.168.2.226。
Netgear 交换机路由如添加的图像中定义的netgear 交换机路由
如果子网 A 中的主机收到来自子网 B 中的主机的请求,但没有返回子网 B 的路由,则它将无法发送响应。在这种情况下,子网 A 中的主机将尝试将响应发送到其默认网关。如果默认网关没有到子网 B 的路由,则响应将被丢弃,子网 B 中的主机将永远不会收到响应。
我们的防火墙板的以下网址描述了问题和解决方案。https://community.sophos.com/sophos-xg-firewall/f/discussions/100540/strange-behavior-xg-forwarding-to-internal-lan-second-router