請有網管經驗的前輩，幫我解決這個問題！

[brucehkn]

我們學校

www server 在 dns server 上設定的是
正向 210.243.13.130
反向 就分內部(192.102.1.2)及外部(210.243.17.130)

但是最近要加一台工作站，取名叫 hai
hai server 在 dns server 上設定的是
正向 210.243.17.134
反向 內部(192.102.1.26)外部(210.243.17.134)

結果從外線還是學校區網都 ping 得到 www server 這台電腦
但是同樣的設定確 ping 不到 hai server

不知道問題出在哪裡？

我分別從 www server 及 hai server ping 回學校的 router
ping -n 1 -r 9 210.243.17.254 結果所得到的結果都一樣

[巫拉]

intranet ping 不到嗎？
檢查一下防火牆規則，是否只有開hai對外，而沒有開對內。

[brucehkn]

引用:

作者: wisley

intranet ping 不到嗎？
檢查一下防火牆規則，是否只有開hai對外，而沒有開對內。

1.不論是在外線或區網 ping hai server ，都會解析到 210.243.17.134 ，結果都 ping 不到。

2.我大概猜到是防火牆的問題。不過要怎樣設定防火牆規則，讓 hai server 可以對外開放？

[飛鳥]

首先你要分清潔，是DNS的問題還是ROUTE的問題

PING不到，有可能是DNS或ROUTE的設定
我們先測試解釋有沒有問題
使用nslookup問你所設定的DNS
#nslookup www.youdomain
#nslookup hai.youdomain

看看得回的解釋對還是不對
分別在192.102.1.0和外部問dns一次，看解釋的結果是不是如預期的
DNS解釋是正確的話，DNS就是設定正確的

如果解釋都正確，那就要看route的設定和主機是不是不回應ICMP的封包
因為PING是ICMP，有一些系統預設是不回應ICMP的封包的

可從上面兩點看是那裡出問題

[brucehkn]

我從我家測試的結果，這要怎麼解讀呢？

nslookup www.youdomain
*** Can't find server name for address 192.168.0.1: Non-existent domain
*** Can't find server name for address 192.168.0.1: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 192.168.0.1

Non-authoritative answer:
Name: www.youdomain
Address: 210.243.17.130

nslookup hai.youdomain
*** Can't find server name for address 192.168.0.1: Non-existent domain
*** Can't find server name for address 192.168.0.1: Non-existent domain
*** Default servers are not available
Server: UnKnown
Address: 192.168.0.1

Non-authoritative answer:
Name: hai.youdomain
Address: 210.243.17.134

[飛鳥]

nslookup www.youdomain 你要使用nslookup程式來找出www.youdomain的ip
*** Can't find server name for address 192.168.0.1: Non-existent domain 無法從192.168.0.1找到dns server的名稱
*** Can't find server name for address 192.168.0.1: Non-existent domain 無法從192.168.0.1找到dns server的名稱
*** Default servers are not available 無法使用預設的dns server
Server: UnKnown dns主機名稱：不知道
Address: 192.168.0.1 dns主機位置：192.168.0.1

Non-authoritative answer: 這個回應可能不能信任
Name: www.youdomain 解釋的主機：www.youdomain
Address: 210.243.17.130 解釋到的ip：210.243.17.130


==============================================
看起來解釋是正常的
所以，ping看看
分別ping網域和ip

[brucehkn]

請問飛鳥大大
何謂 ping 網域和 ip ??
我們學校的網段應該是 210.243.17.129~210.243.17.255
那要 ping 哪個 ip 呢??

[飛鳥]

ping 130和134
而且，現在解釋是正常的
看是不是作業系統不回應icmp
像WINDOWS XP SP2預設是不回應ping指令的

[brucehkn]

ping 210.243.17.130
Pinging 210.243.17.130 with 32 bytes of data:

Reply from 210.243.17.130: bytes=32 time=52ms TTL=243
Reply from 210.243.17.130: bytes=32 time=51ms TTL=243
Reply from 210.243.17.130: bytes=32 time=53ms TTL=243
Reply from 210.243.17.130: bytes=32 time=50ms TTL=243

Pinging statistics for 210.243.17.130:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 50ms, Maximum = 53ms, Average = 51ms

ping 210.243.17.134
Pinging 210.243.17.134 with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Pinging statistics for 210.243.17.134:
Packets: Sent = 4, Received = 0, Lost = 0 (100% loss),

ping www.youdomin
Pinging www.youdomin [210.243.17.130] with 32 bytes of data:

Reply from 210.243.17.130: bytes=32 time=50ms TTL=243
Reply from 210.243.17.130: bytes=32 time=134ms TTL=243
Reply from 210.243.17.130: bytes=32 time=82ms TTL=243
Reply from 210.243.17.130: bytes=32 time=51ms TTL=243

Pinging statistics for 210.243.17.130:
Packets: Sent = 4, Received = 4, Lost = 0 (0% loss),
Approximate round trip times in milli-seconds:
Minimum = 50ms, Maximum = 134ms, Average = 79ms

ping hai.youdomin
Pinging hai.youdomin [210.243.17.134] with 32 bytes of data:

Request timed out.
Request timed out.
Request timed out.
Request timed out.

Pinging statistics for 210.243.17.134:
Packets: Sent = 4, Received = 0, Lost = 0 (100% loss),

[飛鳥]

現在是連線問題啦
跟dns設定無關，所以你看一下hai這一台可不可以上網
作業系統是什麼？
hai和intnet中間是不是有什麼東西
像防火牆不過icmp和作業系統不回應icmp等

[brucehkn]

引用:

作者: 飛鳥

現在是連線問題啦
跟dns設定無關，所以你看一下hai這一台可不可以上網
作業系統是什麼？
hai和intnet中間是不是有什麼東西
像防火牆不過icmp和作業系統不回應icmp等

hai 目前是可以上網
如果 dns 正向用 192.102.1.26
反向也是設定 192.102.1.26
intranet 就可以通

現在 dns 正向設定是 210.243.17.134
反向設定是 192.102.1.26 以及 210.243.17.134

作業系統是 Windows Server 2003 Enterprise Edition

[飛鳥]

引用:

作者: brucehkn

hai 目前是可以上網
如果 dns 正向用 192.102.1.26
反向也是設定 192.102.1.26
intranet 就可以通

現在 dns 正向設定是 210.243.17.134
反向設定是 192.102.1.26 以及 210.243.17.134

作業系統是 Windows Server 2003 Enterprise Edition

PING跟反向解釋沒關係啦

2003如果有更新到sp1的話，預設不回應icmp
所以ping2003，是time out的
要開放ping的話
到控制台->防火牆->進階->icmp->設定值->允許傳入的回應要求打v

相關參考下面網址
http://www.microsoft.com/taiwan/tech...tna2k3sp1.mspx
http://www.microsoft.com/taiwan/secu.../MS05-019.mspx

[brucehkn]

那意思是只要打開 icmp 的話
就可以 ping 得到囉，是嗎??

如果架站的話 用 http://hai.youdomain/ 也可以囉
因為現在是不通的！

[飛鳥]

引用:

作者: brucehkn

那意思是只要打開 icmp 的話
就可以 ping 得到囉，是嗎??

如果架url]http://hai.youdomain/[/url] 也可以囉
因為現在是不通的！

是的，ICMP和TCP不同
PING是使用ICMP/IP協定
WWW是使用TCP/IP協定
因為microsoft為安全的考慮上，從windows XP sp2、windows2003 sp1起
不回應icmp的所有封包，收到ICMP封包全數不要
所以PING看起來是不通的，讓有心要攻擊或測試的人以為主機不存在

有關ICMP
可參考RFC 792的原文文件
可參考RFC 1812的原文文件
http://petpoku.no-ip.com/DocLib/netw...ntro_icmp.html
http://www.cert.org.cn/articles/tabl...21221470.shtml

[brucehkn]

可是我在區網內
直接 ping 192.102.1.26 就可以 ping 得到呢！
如果是 ping hai.youdomain 就解析到 210.243.17.134
結果就是 Request timed out.