无法连到特定网站

请教一下，最近我发现某个网站我们公司网路(所有的设备)无法连上但是使用手机网路可以(或着说，除了公司的网路以外的都可以)有先确认不是DNS问题(改成8.8.8.8也是无法)也使用tracert 该网页或IP，有跳到HINET后就无法继续往下(用手机网路也是差不多)所以我目前判断跟我们防火墙无关(我们的网路厂商说的)但是对方也说他们防火墙没特别锁定我们的对外IP所以想问还有甚么状况是我没想到的

感谢各位大大

7 个回答

• 旧至新
• 新至旧
• 最高Like数

0

tom751122

iT邦新手 5 级 ‧ 2025-01-13 10:47:51

1.DNS是将网址解析成IP的功能，无论是公司网路或是手机网路基本上若DNS的配置都是8.8.8.8多数情况下解析出来的IP都会是一致的，当然谨慎地确认过也是OK的。
2.通常对外访问网页时，tracepath只要有确认从公司的外网gateway出口基本与你们网路无关，多数都是在对方防火墙上的阻挡有关係。
3.如果在公司网路或是手机网路trace的后面几跳如果都是没有办法看到路径，这是相关的路由器不愿意提供，这比较难去处理。

可尝试的方法:
1.如果你们有第二条公司网路，可尝试使用第二条网路去访问网页看看。
2.可以找电信商确认看看他们是否能查到更多路由资讯，请他们确认是不是有路由loop的问题等。
3.如果对方愿意协助，第2点也可以请对方试试看。

• 
  1

EGG

iT邦新手 5 级 ‧
2025-01-13 11:39:31

抱歉 我说的手机是指手机网路(也就是直接用手机的4G连上网页是可以的，不是连上公司WIFI)
谢谢你提供的方法，我在尝试看看

抱歉 我说的手机是指手机网路(也就是直接用手机的4G连上网页是可以的，不是连上公司WIFI)<br /> 谢谢你提供的方法，我在尝试看看

修改

0

bluegrass

iT邦高手 1 级 ‧ 2025-01-13 11:00:56

你公司有多一个WAN IP不, 试试换成另一个再上

• 
  1

bluegrass

iT邦高手 1 级 ‧
2025-01-15 12:14:21

小更新一下, 最近有个类似的客户一样问题

最后到fortigate上改tcp-mss成1350就解决了

不知道你有没效就是了

小更新一下, 最近有个类似的客户一样问题</p> <p>最后到fortigate上改tcp-mss成1350就解决了</p> <p>不知道你有没效就是了

修改

0

林门神JanusLin

iT邦超人 1 级 ‧ 2025-01-13 15:43:34

一定是
防火墙特别锁定对外IP
换个IP就会通了

• 
  2

EGG

iT邦新手 5 级 ‧
2025-01-13 16:17:05

谢谢解答，所以是对方的问题吗?
因为对方都说防火墙没特别挡让我们比较困扰
等解决完再补上
感谢~

谢谢解答，所以是对方的问题吗?<br /> 因为对方都说防火墙没特别挡让我们比较困扰<br /> 等解决完再补上<br /> 感谢~

修改

林门神JanusLin

iT邦超人 1 级 ‧
2025-01-13 17:30:21

现在 tracert 对方如果没开，几乎都无法测试了
改用 tcping
https://ithelp.ithome.com.tw/articles/10342588
quryport
https://ithelp.ithome.com.tw/articles/10345781
比较快

现在 tracert 对方如果没开，几乎都无法测试了<br /> 改用 tcping<br /> https://ithelp.ithome.com.tw/articles/10342588<br /> quryport<br /> https://ithelp.ithome.com.tw/articles/10345781<br /> 比较快<br />

修改

0

hank_itman

iT邦新手 1 级 ‧ 2025-01-14 07:55:08

公司的防火墙有IPS功能的话，对方的网址或许在黑名单里面。

• 
  1

EGG

iT邦新手 5 级 ‧
2025-01-14 08:48:01

先感谢回覆，所以如果我们公司防火墙有ISP挡住对方网址
我的tracert(对方网址)还是能出去，而不是到防火墙就被挡住?

先感谢回覆，所以如果我们公司防火墙有ISP挡住对方网址<br /> 我的tracert(对方网址)还是能出去，而不是到防火墙就被挡住?

修改

0

ming9900

iT邦新手 3 级 ‧ 2025-01-14 10:20:19

建议测试方式：
1、确认一下分别在内网和外网(例手机4G) ，查到的对方FQDN 对应的 IP 是否相同。

2、在内外网的电脑 命令提示字元，用指令 telnet IP tcp:port (or telnet FQDN tcp:port)，测试对方 Web 有无反应。
对方有反应会有一个游标在左上角闪。
没反应会show "无法开启到主机的连线， 在连接埠 443: 连线失败" ，或其他讯息。

例 Hinet 网页：
telnet www.hinet.net 443
telnet 168.95.245.1 443

3、把原先内网的PC，放到外部"bypass 防火墙"，用同一条ISP线路，再做以上测试。

以上测试完，应该就可以确认是否你家的防火墙问题
PS：如果有用 Hinet 资安舰队，也可以请Hinet 先关掉，再测看看。

如果以上测试完，还不能釐清(!?)，就只能配合 Sniffer ，在内外网PC上，重複以上动作，并抓封包看看了。

0

打杂工

iT邦研究生 1 级 ‧ 2025-01-14 15:21:35

不要相信厂商讲的！勤劳点，防火墙前、后单纯接笔电测，避开所有干扰，答案呼之欲出。

0

Willy

iT邦新手 5 级 ‧ 2025-02-06 13:55:34

还是建议自己一段一段测试

1. 直接对接光世代小乌龟
   如果可以那就不是对方问题
2. 接在防火墙下面
   如果不行就是Policy 或是 解析有问题
   可以专门为那个网址写一个Policy > FQDN
   或是认真看一下公司FW的Policy