无法traceroute出防火墙问题

最新推荐文章于 2025-04-16 15:45:34 发布

corpse2010

最新推荐文章于 2025-04-16 15:45:34 发布

阅读量4.5k

点赞数 1

分类专栏： FIREWALL 文章标签： firewall

本文链接：https://blog.csdn.net/corpse2010/article/details/80340338

版权

FIREWALL 专栏收录该内容

2 篇文章

订阅专栏

  无法traceroute出防火墙： 

  ----如果从防火墙的高安全区到低安全区进行traceroute，则需要放行TTL超时的ICMP包和端口不可达的ICMP包 

  ----如果从防火墙的低安全区到高安全区进行traceroute，则只需要放行起始 
 的UDP包，目标端口从UDP 33434~33523 

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

corpse2010

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

网络工程师用好traceroute命令，追踪主机路由我不怕！

网络技术联盟站

07-05

1445

你好，这里是网络技术联盟站，我是瑞哥。是一种网络诊断工具，用于跟踪数据包在网络中从源到目的地的路径。它显示数据包经过的每个路由器（或“跳”）的地址和响应时间，这对于网络工程师排除网络故障、分析网络性能以及了解网络拓扑结构非常有用。在不同的操作系统上可能会有不同的名称。例如，在Windows上，通常使用tracert命令，而在Linux和macOS上，则是traceroute命令。尽管名称和某些实现细节有所不同，但它们的基本功能和目的都是相同的。

traceroute不通linux,能ping通traceroute不通

weixin_29738537的博客

05-15

3823

问题现象：Linux下可以ping通IP，但是traceroute不通问题原因：traceroute路由跟踪是利用IP数据包的TTL值来实现的，Linux 下 traceroute 首先发出 TTL = 1 的UDP 数据包，第一个路由器将 TTL 减 1 得 0 后就不再继续转发此数据包，而是返回一个 ICMP 超时报文，traceroute 从超时报文中即可提取出数据包所经过的第一个网关的 I...

参与评论您还未登录，请先登录后发表或查看评论

解除禁tracet_防火墙如可禁止tracert但允许ping

weixin_42525387的博客

12-24

2186

问题描述FAQ:用户想在网络中禁止tracert，但允许ping。在策略中deny掉了icmp协议，tracert和ping都被禁止了。告警信息无处理过程在我们的设备上：ping时发出的报文类型为echo，类型码为8，回应报文的类型为echo-reply，类型码为0tracert时，发出的报文类型和ping相同(但ttl值不同)；返回的icmp报文类型为ttl-exceeded，类型码为 Typ...

traceroute不通linux,PING能通，traceroute不通

weixin_32550525的博客

05-15

1913

现象：PING 118.194.167.145能通，traceroute到最后一跳不通。分析：在WIN机器上用tracert测试可以达到，用网上站长工具等路由跟踪工具一样也可以到达，同时在LINUX机器上用MTR也能达到。对比判断会发现可能是LINUX机器上traceroute这个工具的问题。于是在LINUX上再用tracert，可达！知识点：LINXU上tracert和traceroute虽然都...

tracroute 跟踪端口的简单用法，快速测试端口连通性

最新发布

qq_33533473的博客

04-16

511

p port--port=port设置要使用的目标端口。一定要带上-T参数，才能使用TCP协议进行跟踪。另起不存在的端口测试，结果没有任何响应。tracroute 的命令参数。2、没有 -T 跟踪的结果，

【linux可以ping通，但是traceroute不通】

weixin_43752943的博客

11-07

1298

上次有台linux服务器，可以ping的通，但是traceroute不通。查资料说是linux上的traceroute默认使用UDP协议，而现在的防火墙默认屏蔽大部分的UDP流量的，所以出现这种情况。只需要指定 -I （使用ICMP协议）即可解决。直接禁用linux的防火墙也可。

traceroute不通的解决

qq_53388188的博客

10-14

5298

traceroute不通的解决，ping与tracert

能ping通tracert不通怎么回事？

高性价比服务器就选：蓝易云

03-18

3164

在网络诊断中，Ping和Tracert是两个常用的工具。Ping是用来测试主机之间网络连接的质量和可达性，而Tracert则是用来追踪数据包在网络中的路由路径。解决这个问题的方法通常需要检查网络设备的配置，或者使用其他的网络诊断工具来帮助确定问题的原因。在一些情况下，可能需要联系网络服务提供商或者网络管理员来协助解决。

Tcptraceroute 广泛使用防火墙

01-02

现代网络广泛使用防火墙，导致传统路由跟踪工具发出的（ICMP应答（ICMP echo）或UDP）数据包都被过滤掉了，所以无法进行完整的路由跟踪。尽管如此，许多情况下，防火墙会准许反向（inbound）TCP数据包通过防火墙到达...

linux防火墙禁用traceroute,raw socket traceroute权限拒绝处理

weixin_34420941的博客

05-15

773

一、问题现象现网一台SuSE主机，在使用traceroute直接进行测试路由信息时可以正常返回(默认使用udp)，当换用tcp协议指定端口时，提示权限拒绝，具体如下：# traceroute 192.168.23.22 -T -q 10 -f 4 -p 7280unable to create ICMP recv socket: Permission denied二、问题分析1、strace跟踪先...

Juniper SRX防火墙ICMP-Traceroute

往年之事

12-01

1039

通常可以在设备使用show junos junos-defaults 查看到系统自定义的应用参数，Junos-OS提供是的默认参数命令Hidden的，junos-defaults group包含了预定义的参数和通用的应用状态； Junos-OS软件使用的提供的Traceroute的应用配置如下所示： Traceroute application: application junos-traceroute { application-protocol traceroute; protocol udp; d

traceroute

04-14

对于网络管理员和故障排查人员，这个非root版本的`traceroute`则提供了一种在受限环境中诊断网络问题的手段。总而言之，这个压缩包中的`traceroute`源代码提供了一个独特的实现，让用户可以在不具有管理员权限的...

解决tracert经过防火墙显示*号

友人A的博客

02-23

9981

存在问题： tracert一台经过防火墙的服务器IP地址，经过防火墙时显示*号。无法详细的显示出tracert的路径信息。解决方法： 1、配置ICMP超时报文功能 [USG5500]ip ttl-expires enable 2、关闭Tracert报文攻击防范功能（危险操作） [USG5500]undo firewall defend tracert enable 查...

traceroute经过防火墙不回显问题

weixin_47119622的博客

01-12

2023

linux系统traceroute默认使用UDP协议发送数据包，日常运维过程需要测试可能会忽略这一点，导致防火墙策略已经开放ICMP协议但是traceroute回显不正常。

traceroute不通linux,traceroute出现*的分析

weixin_28836989的博客

05-15

501

[root@acer ~]# traceroute -w 20 xiyou.edu.cntraceroute to xiyou.edu.cn (202.117.128.8), 30 hops max, 60 byte packets1 192.168.1.100 (192.168.1.100) 0.220 ms 0.200 ms 0.187 ms2 222.24.12.1 (2...

为什么在VMWare的NAT模式下无法使用traceroute

TCP/IP

08-12

9657

traceroute是一个神奇，其历史悠久到足以跟UNIX相比肩，它工作在IP层，由于IP是一个无状态的协议，因此traceroute对其返回的结果的正确性甚至能否返回结果不予保证，这在某些场景下会造成困扰。最大的困扰是，它在某种场景下根本不可用，而你却无法区分这是真的不可用还是正如文档中所说，某些设备会禁止ICMP所以不会返回结果。我来直接切入正题，tracero

路由器和防火墙对Ping/Tracert工具的影响

caiguazheng4921的博客

03-21

547

在日常的网络探测和故障诊断中，常用到的两个工具是Ping和Tracert。随着网络结构的日益复杂和中间设备（包括但不仅限于路由器和防火墙）的广泛部署，以及为了实现安全要求而在路由器和防火墙上实施了严格的访问控制策略后，网络管理和维护人员想要正常使用Ping/Tracert对网络进行主动有效的探测和故障诊断往往受阻，甚至无法进行。Windows环境下的Ping/Tracert工...

一份关于windows server服务器的安全漏洞处理建议（来自绿盟安全评估）_允许traceroute探测漏洞(1)

2401_84545291的博客

05-13

2116

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。