无法traceroute出防火墙问题

最新推荐文章于 2025-08-15 16:18:43 发布

原创最新推荐文章于 2025-08-15 16:18:43 发布 · 4.7k 阅读

2 ·

CC 4.0 BY-SA版权

文章标签：

#firewall

FIREWALL 专栏收录该内容

2 篇文章

订阅专栏

本文介绍了在不同安全级别的防火墙区域间进行Traceroute时的配置要求：从高安全区到低安全区需放行特定ICMP包；反之则仅需放行起始UDP包。

无法traceroute出防火墙：

----如果从防火墙的高安全区到低安全区进行traceroute，则需要放行TTL超时的ICMP包和端口不可达的ICMP包

----如果从防火墙的低安全区到高安全区进行traceroute，则只需要放行起始的UDP包，目标端口从UDP  33434~33523

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

corpse2010

关注关注

1
点赞
踩
2

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

网络工程师用好traceroute命令，追踪主机路由我不怕！

网络技术联盟站

07-05

1739

你好，这里是网络技术联盟站，我是瑞哥。是一种网络诊断工具，用于跟踪数据包在网络中从源到目的地的路径。它显示数据包经过的每个路由器（或“跳”）的地址和响应时间，这对于网络工程师排除网络故障、分析网络性能以及了解网络拓扑结构非常有用。在不同的操作系统上可能会有不同的名称。例如，在Windows上，通常使用tracert命令，而在Linux和macOS上，则是traceroute命令。尽管名称和某些实现细节有所不同，但它们的基本功能和目的都是相同的。

解决tracert经过防火墙显示*号

友人A的博客

02-23

1万+

存在问题： tracert一台经过防火墙的服务器IP地址，经过防火墙时显示*号。无法详细的显示出tracert的路径信息。解决方法： 1、配置ICMP超时报文功能 [USG5500]ip ttl-expires enable 2、关闭Tracert报文攻击防范功能（危险操作） [USG5500]undo firewall defend tracert enable 查...

参与评论您还未登录，请先登录后发表或查看评论

traceroute经过防火墙不回显问题

weixin_47119622的博客

01-12

2363

linux系统traceroute默认使用UDP协议发送数据包，日常运维过程需要测试可能会忽略这一点，导致防火墙策略已经开放ICMP协议但是traceroute回显不正常。

配置华为防火墙允许对tracert路探测回显

杨奇的博客

08-07

9165

命令配置防火墙允许对tracert路探测回显： <R1>tracert 202.1.1.1 traceroute to 202.1.1.1(202.1.1.1), max hops: 30 ,packet length: 40,press CTRL _C to break 1 * * * 2 202.1.1.1 80 ms 30 ms 50 ms <R1> [FW1]icmp ttl-exceeded send //允许对tracert路探测回

traceroute出现*的原因

热门推荐

qq_36472340的博客

08-13

2万+

traceroute用来查看一个数据包沿途经过的路由ip地址，但是有时候一行会出现*，甚至某一行后面全是 * ，这篇文章从表面上分析一下原因。包括互联网主机出现*和NAT模式下出现*的原因分析

华为USG6550E开启Tracert

繁星流动天际

09-02

4522

FAQ：如何配置才能在执行Tracert命令时本机不显示星号问题如何配置才能在执行Tracert命令时本机不显示星号？回答 ·Tracert防火墙自身。放开到防火墙Local域的ICMP或者UDP报文包过滤。如果Tracert使用UDP报文，那么还需要执行命令icmp host-unreachable send开启ICMP目的站不可达报文的发送功能。 ·Tracert经过防火墙转发。 1.放开经过防火墙转发ICMP或者UDP报文包过滤。 2.配置ICMP超...

解除禁tracet_防火墙如可禁止tracert但允许ping

weixin_42525387的博客

12-24

2232

问题描述FAQ:用户想在网络中禁止tracert，但允许ping。在策略中deny掉了icmp协议，tracert和ping都被禁止了。告警信息无处理过程在我们的设备上：ping时发出的报文类型为echo，类型码为8，回应报文的类型为echo-reply，类型码为0tracert时，发出的报文类型和ping相同(但ttl值不同)；返回的icmp报文类型为ttl-exceeded，类型码为 Typ...

traceroute不通linux,PING能通，traceroute不通

weixin_32550525的博客

05-15

1984

现象：PING 118.194.167.145能通，traceroute到最后一跳不通。分析：在WIN机器上用tracert测试可以达到，用网上站长工具等路由跟踪工具一样也可以到达，同时在LINUX机器上用MTR也能达到。对比判断会发现可能是LINUX机器上traceroute这个工具的问题。于是在LINUX上再用tracert，可达！知识点：LINXU上tracert和traceroute虽然都...

linux防火墙禁用traceroute,raw socket traceroute权限拒绝处理

weixin_34420941的博客

05-15

818

一、问题现象现网一台SuSE主机，在使用traceroute直接进行测试路由信息时可以正常返回(默认使用udp)，当换用tcp协议指定端口时，提示权限拒绝，具体如下：# traceroute 192.168.23.22 -T -q 10 -f 4 -p 7280unable to create ICMP recv socket: Permission denied二、问题分析1、strace跟踪先...

Tcptraceroute 广泛使用防火墙

01-02

现代网络广泛使用防火墙，导致传统路由跟踪工具发出的（ICMP应答（ICMP echo）或UDP）数据包都被过滤掉了，所以无法进行完整的路由跟踪。尽管如此，许多情况下，防火墙会准许反向（inbound）TCP数据包通过防火墙到达...

如何使用Traceroute定位网络问题？

03-10

1097

Traceroute 是网络诊断中用于追踪数据包从源主机到目标主机的路径的工具，可帮助定位网络延迟、路由故障或中间节点问题。

9、网络问题排查：从防火墙到数据包捕获

最新发布

jump7的博客

08-15

本文详细介绍了网络问题排查的常用工具和方法，涵盖防火墙规则检查、慢网络问题排查以及数据包捕获和分析。通过使用如 iptables、ping、traceroute、iftop 和 tcpdump 等工具，可以逐步定位并解决网络故障，提高网络的稳定性和可靠性。同时，文章提供了流程图和表格，帮助读者更直观地理解排查步骤和工具用途。

【linux可以ping通，但是traceroute不通】

weixin_43752943的博客

11-07

1462

上次有台linux服务器，可以ping的通，但是traceroute不通。查资料说是linux上的traceroute默认使用UDP协议，而现在的防火墙默认屏蔽大部分的UDP流量的，所以出现这种情况。只需要指定 -I （使用ICMP协议）即可解决。直接禁用linux的防火墙也可。

traceroute不通的解决

qq_53388188的博客

10-14

5844

traceroute不通的解决，ping与tracert

能ping通tracert不通怎么回事？

高性价比服务器就选：蓝易云

03-18

3758

在网络诊断中，Ping和Tracert是两个常用的工具。Ping是用来测试主机之间网络连接的质量和可达性，而Tracert则是用来追踪数据包在网络中的路由路径。解决这个问题的方法通常需要检查网络设备的配置，或者使用其他的网络诊断工具来帮助确定问题的原因。在一些情况下，可能需要联系网络服务提供商或者网络管理员来协助解决。

traceroute不通linux,能ping通traceroute不通

weixin_29738537的博客

05-15

3908

问题现象：Linux下可以ping通IP，但是traceroute不通问题原因：traceroute路由跟踪是利用IP数据包的TTL值来实现的，Linux 下 traceroute 首先发出 TTL = 1 的UDP 数据包，第一个路由器将 TTL 减 1 得 0 后就不再继续转发此数据包，而是返回一个 ICMP 超时报文，traceroute 从超时报文中即可提取出数据包所经过的第一个网关的 I...

traceroute不通linux,traceroute出现*的分析

weixin_28836989的博客

05-15

524

[root@acer ~]# traceroute -w 20 xiyou.edu.cntraceroute to xiyou.edu.cn (202.117.128.8), 30 hops max, 60 byte packets1 192.168.1.100 (192.168.1.100) 0.220 ms 0.200 ms 0.187 ms2 222.24.12.1 (2...

为什么在VMWare的NAT模式下无法使用traceroute

TCP/IP

08-12

9767

traceroute是一个神奇，其历史悠久到足以跟UNIX相比肩，它工作在IP层，由于IP是一个无状态的协议，因此traceroute对其返回的结果的正确性甚至能否返回结果不予保证，这在某些场景下会造成困扰。最大的困扰是，它在某种场景下根本不可用，而你却无法区分这是真的不可用还是正如文档中所说，某些设备会禁止ICMP所以不会返回结果。我来直接切入正题，tracero