我在 pfSense 2.0.3 中看到一些奇怪的行为,其中我的所有 WAN 接口都根据接口屏幕启动,但除了默认网关之外的所有接口在网关组中都显示为“离线”。
我的默认网关工作正常。
我的第一个想法是网关不响应 ICMP,但我能够从不相关的连接(即从外部)ping 它们就好了。
更奇怪的是,使用 WebConfigurator 中的“Ping”工具,我可以8.8.8.8从所有 WAN 接口 ping,但他们无法 ping 到他们自己的下一跳。
最奇怪的是,当我为任何接口使用替代监控 IP 时8.8.8.8,它不再可 ping 通!
我想知道以下内容:
- WebConfigurator 中的 Ping 工具是否仍然应用了本地主机的防火墙和出站 NAT 规则?
- 有人以前见过这样的东西吗?
我在 pfsense ver 2.3.2-RELEASE-p1 上遇到了几乎相同的问题经过数小时的谷歌搜索后,我发现了这个。 https://forum.pfsense.org/index.php?topic=105644.0
有时网关不想响应
ping。如果您的网关工作正常但仪表板仍然显示它处于脱机状态,您可以尝试更改网关上数据有效负载的高级设置。(定义要在 ICMP 数据包上发送到网关监控 IP 的数据负载。)因此,我学到了一些新东西:当您从 WebConfigurator Ping 时,防火墙规则仍然适用。
在我的例子中,我有一个愚蠢的浮动规则,它将 WANS A、B、C、D 的网关组分配给任何协议、任何源、任何目的地、OUT。
结果,网关 B、C、D 上的 ping 显然会超时,因为 ICMP 流量始终通过 A 路由。
将规则修改为仅适用于 TCP/UDP 流量后,问题就彻底解决了。